N avrh a pouzit metrik informacn bezpecnosti, m eren v ISMS

Transkript

1 Metriky a m eren informacn bezpecnosti N avrh a pouzit metrik informacn bezpecnosti, m eren v ISMS PV 017 Bezpecnost IT Jan Staudek Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Organizace mus hodnotit v ykonnost informacn e-bezpecnostnch opatren a efektivnosti ISMS Potrebuje mechanismy pro meren efektivnosti implementace bezpecnostnch opatren Merenm se zsk avaj data podporujc { pridelen investic do InSec, { hodnocen ucinnosti opatren a { pro identikaci moznost jak zv ysit jejich ucinnost Standard m eren informacn bezpecnosti ISO/IEC 27004: 2009, Information technology Security techniques Information security management Measurement Verze : podzim 2018 Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 1 Metriky, m eren informacn bezpecnosti a ISMS Co a kdy se mer a co je clem meren urcuje politika ISMS Procesy souvisejc s m erenm jsou zacle nov any do cyklu PDCA n asledovne Proc se mer? Clem m eren je zsk an informac pro posouzen a prpadn e zv ysen efektivnosti ISMS ISO narizuje prov adet meren pro demonstraci toho jak dobre ISMS pracuje Zvysov anm efektivnosti ISMS se rozum zlepsov an v ykonnosti n astroj u informacn bezpecnosti z pohledu celkov ych podnikatelsk ych rizik organizace M eren dod av a managementu vstupy pro prezkoum av an ISMS pro usnadn en rozhodov an souvisejcch s ISMS M erenm se zsk avaj d ukazy pro zlepsen implementace ISMS Pro zsk an d ukaz u mus b yt stanoven e mry a metody meren a postupy vyhodnocov an nam eren ych dat Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 2 Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 3

2 Kroky n avrhu a pouzit metrik 1. V yber objekt u, pro kter e se navrhuj metriky 2. Inici aln interview se zainteresovan ymi stranami 3. N avrh prvn verze metrik 4. N asledn e interview se zainteresovan ymi stranami 5. Denice metrik, metod meren, indik ator u, krit eri, M eren pomoc navrzen ych metrik 7. Agregace v ysledk u na z aklade zskan ych dat a vytvoren zpr avy o m eren Zsk avan e metriky mus b yt denovan e, analyzovan e a v ysledky anal yzy ve vhodn em, n azorn em form atu (grafy, r uzne barven e texty,... ) mus b yt sdelen e odpovedn ym rolm Co se mer Meren ym objektem m uze b yt implementovan y proces ISMS, procedura, opatren,... objekt, kter y nejakou formou souvis s prosazov anm ITSec Meren y objekt m a jednu nebo vce vlastnost Vlastnost { charakteristika rozlisiteln a kvalitativn e nebo kvantitativn e, manu aln e nebo automatick ymi n astroji M er se vlastnosti relevantn pro posouzen prnosu objektu pro dosazen pozadovan e urovn e informacn bezpecnosti Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 4 Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 5 M eren, metriky, metody, modely, v ysledek m eren M erenm objektu (procesu ISMS, procedury, opatren,... ) se rozum proces zsk an informac o objektu M eren probh a podle jist e metody m eren, zsk avaj se z akladn metriky Ze z akladnch metrik se prpadn e se pomoc urcen e m erc funkce zsk avaj odvozen e metriky Z obou typ u metrik se pomoc relevantnho analytick eho modelu odvozuj indik atory spln en / nespln en pozadovan ych cl u pouzit objektu (procesu ISMS, procedury, opatren,... ) Z indik ator u se pomoc denovan ych rozhodovacch krit eri odvozuje strucn y a jednoznacn y v ysledek m eren Metriky Metrika { prom enn a obsahujc informaci zskanou m erenm Metriky nemus nutn e b yt objektivn, hmatateln e, konkr etn mohou b yt i subjektivn, neurcit e, napr. v ysledky interview, audit u, hodnocen dopad u bezpecnostnch skolen { r ust bezp. vedom Metriky nemus nutn e mt diskr etn hodnoty lze pouzt vyhodnocov an toho co a jak lid e rkaj Syst em zsk av an metrik nemus b yt n akladn y, lze vyuzt existujc zdroje typu statistiky z Help desk sledov an reakc z akaznk u sledov an frekvenc resen bezp. probl em u managementem,... Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 6 Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 7

3 Metriky Metrika mus b yt SMART Specic, Measurable, Actionable, Relevant, Timely presne stanoven a, meriteln a, pouziteln a, relevantn, aktu aln Pouzij pravidlo 80/20 zamer se na tech 20% z mozn ych metrik, kter e odpov na 80 % ot azek Identikovan e metriky mus b yt snadno m eriteln e, nejl epe automatizovan e Rozm ery, mry, nemus nutn e b yt absolutn v aha se mer na kp, d elka na m hodnota v ysledku meren bezpecnostn vlastnosti m uze b yt vyjadrovan a indexem ve sk ale, pouzit a sk ala m uze b yt subjektivn Metriky Prlis cast e meren m uze b yt nam ahav e a drah e, nzk a frekvence m eren m uze poskytovat irelevantn data Nam eren e hodnoty se vesm es vyjadruj pomoc vhodn ych stupnic Stupnice { uspor adan a mnozina spojit ych (metrick ych) nebo diskr etnch hodnot vlastnost meren eho objektu nebo mnozina kategori, do kter ych se zobrazuj vlastnosti meren eho objektu Typ stupnice je dan y vztahem mezi hodnotami ve stupnici Vyj adren metriky numericky ci procentem redukuje subjektivnost metriky maj b yt objektivn Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 8 Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 9 Sk ala, stupnice (scale) Sk ala, stupnice (scale) Nomin aln stupnice { kvalitativn stupnice o jejz dvou hodnot ach m uzeme pouze rci, zda jsou stejn e ci r uzn e. Hodnotami nomin aln stupnice mohou b yt texty ci cseln e k ody, lze u nich zjist'ovat jen rozd elen cetnost, nem uzeme s nimi prov adet aritmetick e operace (sctat apod.) Ordin aln (poradnicov a) stupnice { kvalitativn stupnice u jejz dvou hodnot ach m uzeme navc urcit porad, pricemz useky mezi jednotliv ymi hodnotami nemus b yt stejn e (stejne v yznamn e) Pr.: Riziko: zanedbatelné, běžné, katastrofické,... Sest av a ze dvou ci vce vz ajemne se vylucujcch kategori (trd). Pr.: Hrozby: podvod, ztráta důvěrnosti, znepřístupnění,... Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 10 Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 11

4 Sk ala, stupnice (scale) Sk ala, stupnice (scale) Intervalov a stupnice { kvantitativn stupnice pro jejz dv e hodnoty m uzeme navc (k moznostem ordin aln) vypoctat, o kolik je jedna hodnota v ets (resp. mens) nez druh a, Nulov a pozice na stupnici je vec volby. Meren e useky na stupnici jsou stejne velk e. Nelze vyjadrovat pomer { 2 x vets IQ 2 x vets chytrost Pom erov a, racion aln stupnice { kvantitativn stupnice pro jejz dv e hodnoty m uzeme navc (k moznostem intervalov e) vypoctat, kolikr at je jedna hodnota v ets (resp. mens) nez druh a, obsahuje pouze o kladn e hodnoty. Nulov a pozice na pomerov e stupnici je d ana pevne a vyjadruje naprostou neprtomnost m eren e vlastnosti. Neco se deje 2x casteji nez neco jin eho. Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 12 Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 13 Pragmatick e uvahy o n avrhu m eren bezpecnosti Co merit? jen to, co chceme opakovane, systematicky, rutinne vyhodnocovat sbr ame jen ta data, kter a budeme analyzovat del ame jen ty anal yzy, jejichz v ysledky prakticky vyuzijeme Jak merit? Musme denovat kdo del a kter a meren a jak a co jsou v ysledky Musme vedet jak bezpecne uchov avat v ysledky meren Zacn ame s minim alnm rozsahem meren a meren rozsirujeme az kdyz se uk aze nutnost meren rozsrit, metoda KISS (Keep It Simple and Stupid) Jak dokumentovat, jak prezentovat v ysledky m eren? viz syst em zpr av v n asledujcm v ykladu musme denovat jak implementovat zpravodajsk y syst em Prezentace v ysledk u m eren Syst em zpr av m a predpisovat bezpecnostn politika ISMS, napr. v yrocn velmi d uvern a hodnotc zpr ava pro CEO (Chief Executive Officer) a predstavenstvo ctvrtletn d uv ern y report pro vyss management organizace odpov edn y stav bezpecnosti obe zpr avy typicky pod av a bezpecnostn architekt vych az typicky z mescnch report u { viz nze m escn reporty pro CTO (Chief Technology Officer ) / CIO (Chief Information Officer) / CISO (Chief Information Security Officer) zpr avy pod avaj role odpovedn e za v ykon/rzen bezpecnosti Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 14 Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 15

5 Model m er en informa cn bezpe cnosti Jan Staudek, FI MU Brno 2 2 PV017 { Metriky, me ren v z ivotn m cyklu ISMS Kroky p ri konstrukci vysledku m er en 16 Jan Staudek, FI MU Brno PV017 { Metriky, me ren v z ivotn m cyklu ISMS Zakladn metriky a metody m er en P r klad zakladn metriky, metody m er en,... Zakladn metrika je dana metodou m er en a m er enou vlastnost objektu m er en C lem necht' je m er en trendu vyhov en politice Zajis t ova nı ve domı zame stnancu o informac nı bezpec nosti, Metoda m er en Genericky popsany logicky sled operac pro kvanti kaci vlastnost m er eneho objektu v dane s kale hodnot Typ metody m er en zavis na povaze operac pou zitych pro kvanti kaci vlastnost : - Subjektivn : kvanti kace zahrnuj c lidsky usudek - Objektivn : kvanti kace na zaklad e numerickych pravidel Operac mu ze byt c tan vyskyt u, sledovan b ehu c asu, audit, interview,... Jan Staudek, FI MU Brno PV017 { Metriky, me ren v z ivotn m cyklu ISMS problemem je jak p re- i poddimenzovan rychlosti pro skolovan P redm et (objekt) m er en { system s kolen v ITSec M er ene vlastnosti { zam estnanci identi kovan v planu s kolen a zam estnanci, kte r usp es n e absolvovali s kolen Metody m er en { c tan zam estnancu v planu s kolen a zam estnancu s usp es n e slo zenou zav ere cnou zkou skou po s kolen Zakladn metriky { po cty planovan ych/ usp es n e pro skolenych osob Odvozenou metrikou je trend pro skolovan v prub ehu roku, z skany vhodnou m er c funkc ze zakladn ch metrik Pro odvozen indikace problematickeho trendu se pou zij { vhodny analyticky model, { zakladn a odvozene metriky a { adekvatn rozhodovac kriteria Jan Staudek, FI MU Brno PV017 { Metriky, me ren v z ivotn m cyklu ISMS 19

6 Vybran e prklady predm et u (objekt u) m eren V ykonnost opatren implementovan ych v ISMS Stav informacnch aktiv chr an en ych opatrenmi V ykon proces u implementovan ych v ISMS Chov an person alu podl ehajcho implementovan emu ISMS... Cinnosti organizacnch jednotek odpov edn ych za informacn bezpecnost Urove n spokojenosti z ucastn en ych stran Zdroje informac o predm etech m eren a jejich vlastnost V ysledky anal yzy rizik a posuzov an rizik Dotaznky a interview Zpr avy internch a / nebo externch audit u Z aznamy o ud alostech, jako jsou protokoly (logy), statistick e udaje a zjisten z audit u Zpr avy o incidentech, zejm ena ty, kter e zp usobily skody V ysledky test u, napr. penetracnch test u, soci alnho inzen yrstv, vyhov en regulacnm opatrenm a politik am Z aznamy z procedur a program u souvisejcch s informacn bezpecnost organizace, napr. v ysledky skolen o informacn bezpecnosti Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 20 Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 21 Potenci aln metriky bezpecnosti informac, ISO/IEC Statistiky zm en IT pocty a trendy zmen z d uvod u odhalen katastrock ych, v yznamn ych, bezn ych, akceptovateln ych rizik pocty a trendy n avrat u k predchozm resenm pocty a trendy uspesn ych vs. ne uspesn ych zmen metriky vyzr av an IT proces u souvisejcch s bezpecnost polocas aplikace bezpecnostnch z aplat { za jak dlouho se z aplaty umst na vce nez 50% zraniteln ych syst em u Statistiky dopad u skodliv eho software pocty vir u, Trojsk ych ko n u, spamu, trendy techto poct u Potenci aln metriky bezpecnosti informac, ISO/IEC Statistiky odvozen e z audit u externch auditor u pocty a trendy poct u doporucen auditor u krizov a, v azn a, upozor novac odhalen,... trendy akceptov an doporucen z auditu managementem Prklad doporucen auditor u ve sk ale klasikac zjist en ych nedostatk u Z avaznost A { zjisten y nedostatek je velmi z avazn y (velmi v yznamn y). Velmi v yznamne narusuje bezpecnost syst emu. Doporucujeme co nejrychlejs (pokud mozno okamzit e) odstranen nedostatku. V prpade nov eho syst emu doporucujeme odstranen nedostatku jeste pred jeho nasazenm. pokrac. Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 22 Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 23

7 Potenci aln metriky bezpecnosti informac, ISO/IEC Potenci aln metriky bezpecnosti informac, ISO/IEC Z avaznost B { zjisten y nedostatek je stredne z avazn y (v yznamn y). Ohrozuje bezpecnost syst emu, avsak ohrozen nen bezprostredn nebo nen velmi z avazn e. Nedostatek by mel b yt odstranen pri nejblizs vhodn e prlezitosti. Z avaznost C { zjisten y nedostatek nen z avazn y, neznamen a konkr etn ohrozen bezpecnosti syst emu, ale m uze b yt povazov an za prestupek proti bezpecnostnm zvyklostem. Hodnotitel e doporucuj odstranen tohoto nedostatku pri vhodn e prlezitosti, nerespektov an tohoto doporucen nemus v est k ohrozen bezpecnosti syst emu. Z avaznost nen { zjisten y nedostatek nen z avazn y, neznamen a konkr etn ohrozen bezpecnosti syst emu, ale m uze b yt povazov an za prestupek proti bezpecnostnm zvyklostem. Vetsinou se jedn a o prpady, kdy hodnotitel e si jsou vedomi skutecnosti, ze za soucasn eho stavu technologie nen k dispozici prijateln e technick e resen, kter e by toto relevantne odstranilo. Konkr etn prklady zjist en ych nedostatk u a jejich klasikac Z avaznost A { Procesy pro tisk PIN u vyzaduj, aby na tiskov em poctaci bylo rucne meneno syst emov e datum na ktivn hodnoty. Tato praxe je nez adouc, je v rozporu s pozadavky na bezpecn e protokolov an. Ve v yvojov em nebo v testovacm prostred se pouzvaj ziv a data o z akazncch. Z avaznost B { K tiskov emu PC se pracovnci prihlasuj jedin ym spolecn ym uzivatelsk ym jm enem. Jednotliv pracovnci nemaj individu aln ucty. Z avaznost C { V session-id syst emu nen zabudov ana IP adresa klienta, kter y vytvoril pozadavek (je zde tedy potenci aln hrozba, zda nen mozn e un est sezen na jinou IP adresu). Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 24 Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 25 Potenci aln metriky bezpecnosti informac, ISO/IEC Potenci aln metriky bezpecnosti informac, ISO/IEC Z avaznost nen { Heslo BIOS je u vsech poctac u stejn e, men se ve vcelet ych intervalech. Skutecnost, ze toto heslo je zn amo i externm pracovnk um je bezpecnostnm rizikem, avsak za soucasn eho stavu technologie nen k dispozici prijateln e technick e resen, kter e by toto riziko odstranilo. Statistiky odvozen e z audit u odd elenm vnitrn kontroly obvykle jsou detailnejs, pokr yvaj vce probl em u organizace mohou b yt ale m ene objektivn Statistiky Help Desk pocty a typy dotaz u, z adost, upozornen, kritik,... pocty z adost o zmenu hesla,... Statistiky bezpecnostnch incident u pocty a trendy poct u pr unik u, phishing utok u,... hodnocen detekc a efektivnost n aprav Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 26 Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 27

8 Potenci aln metriky bezpecnosti informac, ISO/IEC Statistiky z rewall u pocty a trendy poct u prstup u na zak azan e zdroje z organizace pocty a trendy poct u hackersk ych utok u Statistiky zranitelnost syst em u a st'ov ych prostred pocty zn am ych zraniteln ych mst pocty a trendy jejich likvidac, objevov an rychlost oprav z aplatami od v yrobc u... Prklady metrik opatren na urovni aplikacn bezpecnosti Spr ava tajn ych autentizacnch informac uzivatel u % aplikac s implicitnm heslem prodejce software % aplikac s podporou politiky hesel Hodnocen prstupov ych pr av uzivatel u % kritick ych aplikac s periodicky posuzovan ymi prstupov ymi pr avy Omezov an prstupu k informacm % aplikac s dokumetovan ymi rolemi a opr avnenmi Separace v yvojov eho, testovacho, akceptacnho a provoznho prostred % kritick ych aplikac kter e maj denovan a tato prostred Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 28 Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 29 Prklady metrik opatren na urovni aplikacn bezpecnosti Ucastnci m eren Zaznamen av an bezpecnostnch ud alost % aplikac sledovan ych v rezimu 24x7x365 % aplikac s pravidelne prov adenou anal yzou z aznam u ud alost Prejmac testov an syst emu % aplikac spl nujcch z akladn bezpecnostn standardy % aplikac s vypracovan ym pl anem zachov an cinnosti Meren poskytuje informace pro... management ISMS, bezpecnostn management a pro management..., jsou to klienti meren (Clients for measurement) Princip meren validuje bezpecnostn manazer, je hodnotitel meren (Reviewer for measurement) Vlastnky informac o meren ych objektech jsou... spr avce informacn bezpecnosti, manazer..., jsou to vlastnci informac (Information Owners) Data nutn a pro meren shromazd'uje, zaznamen av a a uchov av a... IT oddelen,..., jejich zamestnanci jsou merici (Information Collectors) Anal yzu a zverejnen v ysledk u meren prov adej manazeri odpovedn za ISMS, jsou interpret atori v ysledk u meren (Information Communicators) Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 30 Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 31

9 N azev m eren Prklad zaveden m eren (dokument) Obnova ze z alohy Cseln a (katalogov a) identikace m eren... Cl m eren Zskan d ukaz u potvrzujcch platnost z aruky, ze se kazd a pozadovan a operace obnovy provede do 48 hodin M eren y objekt (bezpecnostn opatren) Z alohovac postupy a procesy zajist'ujc integritu a dostupnost informac a prostredk u pro zpracov an informac, Prijat a politika z alohov an organizace zajist'uje pravideln e vytv aren a testov an z alozn kopie informac a software Prklad m eren, Predm ety m eren a jejich vlastnosti Podrobn y v ycet predmet u (objekt u) meren O1: Syst em spr avy pozadavk u na obnovu ze z alohy O2: Z aznamy z alohovacho syst emu (logy) Vlastnost objektu O1, syst emu spr avy pozadavk u na obnovu ze z alohy, A1: Pozadavky na obnovovac operaci Vlastnost objektu O2, z aznam u z alohovacho syst emu A2: Okamziky startu a ukoncen operac obnovy Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 32 Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 33 Prklad m eren, Z akladn metriky a metody m eren Z akladn metriky B1 (meren A1): Pocet pozadavk u na operaci obnovy B2.1 (meren A2): Doby startu a ukoncen operac obnovy B2.2 (meren A2): Pocet proveden ych operac obnovy Metody m eren M1 (zsk av a B1): Spoctaj se pozadavky na operaci obnovy zadan e za posledn mesc M2.1(zsk av a B2.1): Zaznamenaj se doby startu a ukoncen vsech operac obnovy proveden ych za posledn mesc M2.2 (zsk av a B2.2): Spoctaj se proveden e operace obnovy za posledn mesc Prklad m eren, Z akladn metriky a metody m eren Typy metod m eren Vsechny metody meren jsou objektivn Stupnice, jednotky m eren, typy stupnic pro B1: pro B2.1: pro B2.2: integer, nomin aln, pocet pozadavk u na obnovovac operace y-m-d-t, intervalov a integer, pomerov a, pocty obnovovacch operac Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 34 Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 35

10 Prklad m eren, Specikace odvozen ych metrik Prklad m eren, Indik atory a analytick y model Odvozen e metriky D1: pomer poctu operac obnovy proveden ych za posledn mesc a operac obnovy pozadovan ych za posledn mesc, D1 = B2.2/B1 D2: pocet operac obnovy proveden ych za posledn mesc, D2 = B2.1 D3: doby za kter e se provedly operace obnovy proveden e za posledn mesc M erc funkce, Fi vypoct av a Di F1: del se pocet operac obnovy proveden ych za posledn mesc poctem operac obnovy pozadovan ych za posledn mesc F2: spoct a se pocet operac obnovy proveden ych za posledn mesc F3: pro kazdou operaci obnovy se spoct a jak dlouho trvala, doba ukoncen { doba startu Indik atory I1: kol acov y graf vyjadrujc pomer proveden ych a neproveden ych pozadovan ych operac obnovy I2: kol acov y graf vyjadrujc pomer operac obnovy, kter e se provedly a neprovedly do 48 hodin Analytick y model, AMi generuje Ii AM1: Pocet proveden ych operac obnovy se vyj adr zelenou barvou, pocet neproveden ych operac se vyj adr cervenou barvou AM2: Pocet proveden ych operac obnovy do 48 hodin se vyj adr zelenou barvou, pocet proveden ych operac za dels dobu se vyj adr cervenou barvou Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 36 Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 37 Prklad m eren, Rozhodovac krit eria a v ysledky m eren Rozhodovac krit eria DC1: Mus b yt provedeny vsechny operace obnovy DC2: Vsechny operace obnovy mus b yt provedeny do 48 hodin Interpretace indik ator u Ii I1: Pokud se neprovedlo 100 % pozadovan ych operac obnovy, mus se zjistit d uvody a tyto sdelit podle postupu denovan eho v ISMS zpr avou I2: Pokud se neprovedlo 100 % proveden ych operac obnovy do 48 hodin, mus se zjistit d uvody a a tyto sdelit podle postupu denovan eho v ISMS zpr avou Prklad m eren, Ucastnci m eren, harmonogram Zpr avu o v ysledcch meren dost av a vlastnk z alohovan eho syst emu pouzvajcho sluzbu z alohov an (management jednotky pouzvajc z alohovan y syst em) spr avce a t ym zajist'ujc chod z alohujcho syst emu prov adejcho sluzbu z alohov an Hodnotitel m eren: bezpecnostn manazer Vlastnci informac: IT odd elen M erici: IT odd elen, spr avci z alohovacho syst emu Interpret atori: manazer ISMS Harmonogram: perioda meren, anal yzy, generov an zpr avy { mesc perioda hodnocen a revize meren { rok Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 38 Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 39

11 Prklad m eren, Zpr ava zpr ava mus mt strukturu predepsanou pro dokumenty v ISMS Nze jsou ilustrovan e pouze indik atory vypovdajc v tomto prpade o nzk e kvalite z alohovacho syst emu Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 40