B azov y fenom en pri zajist'ov an bezpecnosti { riziko
|
|
- Adéla Hana Svobodová
- před 5 lety
- Počet zobrazení:
Transkript
1
2 B azov y fenom en pri zajist'ov an bezpecnosti { riziko Kdyz existuje potenci aln utocnk, kter y je schopn y dky zranitelnosti jist eho informacnho aktiva narusit n ekterou z bezpecnostnch vlastnost aktiva (CIA), pak je toto aktivum vystaveno hrozb e pravd epodobnost uplatn en hrozby (tj. utoku) a potencion aln v yse skody zp usoben e tmto utokem predstavuje riziko riziko se vyjadruje jednak v pravd epodobnostnch pojmech (s jakou pravd epodobnost se hrozba uplatn) a jednak v pojmech charakterizujcch dopad hrozby (velikost skody) Generick e kombinovan e vyj adren urovn e rizika urove n rizika = F (pravd epodobnost utoku) F(dopad utoku) Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 1
3 B azov y fenom en pri zajist'ov an bezpecnosti { riziko Z akladem urcen urovn e je odhad z avaznosti (,,seri oznosti") hrozby, tj. potenci alu, ze utocnk vyuzije zranitelnost aktiva ci skupiny aktiv a provede utok, tj. ze se hrozba se uplatn, realizuje do uvahy se bere jak dopad relevantnho utoku, tak i pravd epodobnost realizace/uplatn en hrozby ( utoku) velmi v yznamn e riziko se stav na rove n velk emu dopadu a velk e pravd epodobnosti v yskytu relevantnho utoku nev yznamn e riziko se stav na rove n mal emu dopadu a mal e pravd epodobnosti v yskytu relevantnho utoku Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 2
4 B azov y fenom en pri zajist'ov an bezpecnosti { riziko rizika se zvl adaj volbou a uplatn enm vhodn ych opatren abychom riziko zvl adli, tj. eliminovali ho nebo snzili jeho urove n volbou vhodn eho opatren, musme ho ohodnotit, tj. identikovat, pot e analyzovat a vyhodnotit (urcit jeho urove n) vynakl ad an velk ych n aklad u na zaveden opatren chr ancch aktiva prevenc utok u pri nev yznamn ych rizicch nen ospravedlniteln e Proces ohodnocen rizik usnadn pouzit tabulky rizik aktiv implementujc relaci mezi aktivy (r adky tabulky) a faktory urcujcmi rizika (sloupce) faktory: (1. sloupec obsahuje id aktiv) hrozby, zranitelnosti, id rizika, osoba odpov edn a za zvl ad an rizika, v yse mozn e skody, pravdepodobnost utoku,,... Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 3
5 B azov y fenom en pri zajist'ov an bezpecnosti { riziko Tabulku rizik aktiv vypl nujeme sloupec po sloupci nejprve vyplnme seznam aktiv (1.sloupec) organizace by si m ela udrzovat registr aktiv pot e pro kazd e aktivum nalezneme pro ne relevantn hrozby a po t e nalezneme zranitelnosti, kter e jednotliv e hrozby akcentuj typick e hrozby a zranitelnosti pro mal e a stredn rmy jsou na mnoha zdrojch katalogizov any Zvl adn rizik pro velk e organizace obvykle res outsourcovan e specializovan a rma nebo m a takov a organizace sv uj vlastn odbor pro resen rizik. Pouzvaj se specializovan e n astroje zalozen e na znalostnm inzen yrstv, znalostnch datab azch,... Pro mal e rmy drah e a zdlouhav e resen. Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 4
6 B azov y fenom en pri zajist'ov an bezpecnosti { riziko Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 5
7 B azov y fenom en pri zajist'ov an bezpecnosti { riziko Jak y rozsah ohodnocen rizik se d a zvl adnout manu alne? Necht' pro kazd e aktivum nalezneme 10 hrozeb, necht' kazd a vyuzv a 5 zranitelnost. To vypad a zvl adnutelne. Necht' ale organizace m a 50 aktiv. Zvl adat rizik pro malou organizaci s 50 zam estnanci je presprlis Aktiva vsak ignorovat nelze. Lze se vsak soustredit na d ulezit e hrozby a zranitelnosti Napr. v pr umeru 5 hrozeb na aktivum se 2 zranitelnostmi d av a 500 rizik, coz se jiz d a i v mal e rme manazersky zvl adnout Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 6
8 B azov y fenom en pri zajist'ov an bezpecnosti { riziko Tato metodologie je dobr ym kompromisem mezi rychl ym ohodnocenm rizik a systematick ym a dostatecn e detailnm ohodnocenm umoz nujcm velmi presn e identikovat potenci aln bezpecnostn probl em Tm se snadn eji dosahuje cle ohodnocen rizik { odhalit potenci aln probl em drve nez nastane. Better safe than sorry Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 7
9 Prklad odvozen z avaznosti, urovn e rizika riziko = F (pravd epodobnost) F(dopad) vse ve vhodn em sk alov an, nikdy v absolutnch mr ach, napr. pravd epodobnostn charakter rizika: 1, (L, Low), zanedbateln y v yskyt utoku, jednou za dek adu let 2, (M, Medium), bezn y v yskyt utoku, jednou rocne 3, (H, High), v yskyt utoku hranicc s jistotou, kazd y den dopad odpovdajcho utoku: 1, (L) zanedbateln y / akceptovateln y, v destk ach tisc u Kc 2, (M) b ezn y, ve statisicch Kc 3, (H) katastrock y, v milionech Kc riziko, resp. v yznamnost rizika: resp. tabulkou (L) zanedbateln e riziko, (souciny = 1,2) pravd ep./dopad L M H (M) bezn e riziko, (souciny = 3,4) L L L M (H) katastrock e riziko, (souciny = 6,9) M L M H H M H H Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 8
10 Prklad odvozen z avaznosti, urovn e rizika vyj adren v yznamu rizika prkladem ve v ysi skod / dek adu: (L) zanedbateln e riziko, stovky tisc Kc / dek adu (M) bezn e riziko, jednotky mili on u Kc / dek adu (H) katastrock e riziko, destky a vce mili on u Kc / dek adu prklad z aver u pro zvl ad an rizik: (L) zanedbateln e riziko je akceptovateln e riziko, skody nevad obchodnmu modelu, lze je prp. osetrit pojist enm (M) bezn e riziko clem je (bezpecnostnmi) opatrenmi riziko eliminovat nebo alespo n snzit na zanedbateln e riziko snzenm pravd epodobnosti utoku (H) katastrock e riziko je neakceptovateln e riziko, clem je preventivn e bezpecnostnmi opatrenmi riziko eliminovat nebo alespo n je zmenit na bezn e nebo na zanedbateln e riziko Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 9
11 Bezpecnostn opatren prijm ame/zav adme/prosazujeme (bezpecnostn) opatren, kter a dopad a/nebo pravd epodobnosti uplatn en hrozeb (rizika) omezuj na akceptovatelnou hodnotu Pro katastrock a rizika m a b yt vypracovan y pl an realizace opatren eliminujcch tato rizika nebo alespo n v pevne dan em casov em horizontu redukujcch tato rizika na b ezn a nebo na zanedbateln a rizika Pro bezn a rizika m a b yt urcena odpovednost na urovni konkr etnch osob/rol za uplat nov an stanoven ych opatren eliminujcch tato rizika nebo redukujcch tato rizika na zanedbateln a rizika Zanedbateln a rizika maj b yt zvl adnuteln a (eliminovan a) rutinnmi provoznmi procedurami nebo maj b yt vedome prohl asen a za zbytkov a, tj. akceptovateln a rizika Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 10
12 Bezpecnostn mechanismy (bezpecnostn) opatren musme ucinnou formou implementovat vhodn ymi (bezpecnostnmi) mechanismy mechanismy administrativnho, technick eho, logick eho,... charakteru opatren resc probl em nepopiratelnosti { digit aln podpis mechanismus = asymetrick a kryptograe opatren resc rzen prstupu v souladu s prijatou politikou rzen prstupu mechanismus = fyzick e klce, idenkacn karty, biometriky,... opatren resc probl em d uv ernosti v souladu s prijatou politikou zajist en d uv ernosti mechanismus = sifrov an, trezory, smluvn z avazek (NDA),... Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 11
13 Bezpecnostn politika Politika rzen prstupu, politika zajist en d uv ernosti,... prklady souc ast bezpecnostn politiky, resp. politiky informacn bezpecnosti soubor pravidel specikujc ucinn y zp usob uplat nov an opatren (implementovan ych adekv atnmi mechanismy) potrebn ych pro dosazen pozadovan e urovn e akceptovateln ych rizik Bezpecnostn politika (BP) rk a co se chr an, proti cemu/komu { stanovuje bezpecnostn cle jak se ochrana uplat nuje { urcuje zp usob dosazen bezpecnostnch cl u pomoc uplat nov an opatren implementovan ych vhodn ymi mechanismy Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 12
14 Bezpecnostn politika Detailnost bezpecnostn politiky z avis na chr an en e oblasti, ve kter e je politika uplat novan a Bezpecnostn politika zav ad ejc p eci o bezpecnost informac v organizaci rozhodnutm vedenm organizace n ekolikastr ankov y dokument, prokazateln e schv alen y vedenm organizace vymezujc chr an enou oblast a z akladn bezpecnostn cle. Obvykl e n azvy { bezpecnostn politika, resp. celkov a / korpor atn bezpecnostn politka,... Bezpecnostn politika stanovujc uplat nov an konkr etnch opatren v konkr etnch syst emech v chr anen e oblasti je d uvern y obsazn y dokument. Obvykl e n azvy { pl an zvl ad an rizik, resp. bezpecnostn politka syst emu XXX, syst emov a bezpecnostn politika Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 13
15 Duv eryhodn a bezpecnostn politika 2 2 Duv eryhodnost je,,pevnym bodem" tvo r c m zaklad bezpe cnosti informac,,dejte mi pevny bod ve vesmı ru a ja pohnu celou Zemı.\ Archimed es, O zakonech paky Jan Staudek, FI MU Brno zen informacn PV017, R bezpecnosti, Koncept informacn bezpecnosti II 14
16 D uv eryhodn a bezpecnostn politika Jestlize se dodrzov anm bezpecnostn politiky prokazateln e dos ahne pozadovan e urovn e ochrany aktiv, je bezpecnostn politika d uv eryhodn a jak vypracovat bezpecnostn politiku, aby byla d uv eryhodn a? podmnka nutn a (nikoli vsak postacujc) pro vypracov an d uveryhodn e BP: 1. musíme znát a umět stanovit bezpečnostní cíle 2. musíme znát a umět zvolit a implementovat adekvátní opatření d uv eryhodnost, tj.,,mt moznost d uv erovat", predstavuje z aklad vesker e informacn bezpecnosti, ve vsech jejch aspektech Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 15
17 D uv era/d uv eryhodnost, jej predpoklady a z aruka D uv eryhodn e bezpecnostn politiky jednoznacn e stanovuj/popisuj stavy syst emu spr avn e zvl adaj reakce na bezpecnostn incidenty podle jednoznacn e stanoven ych pozadavk u na bezpecnost D uv eryhodn a bezpecnostn opatren (funkce, sluzby) prosazuj d uv eryhodnou politiku jsou implementov any spr avn e Za dosazenou urove n d uv eryhodnosti lze vyslovit (d at) z aruku akceptovateln a forma vysloven z aruky { auditn zpr ava vypracovan a d uv eryhodnou tret stranou pragmaticky nejvyss forma vysloven z aruky { certik at vydan y respektovanou (prp. legislativn e autorizovanou) autoritou certik at { dokument, kter y prokazuje n ejakou skutecnost... Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 16
18 D uv era/d uv eryhodnost, jej predpoklady a z aruka Z aruka (za bezpecnost) z aruku lze d at jen za to, co je r adne specikov ano { specikujeme pozadavky, bezpecnostn cle, bezpecnostn opatren { čím jsou specifikace přesnější, tím vyšší záruku lze vyslovit z aruku lze d at jen za to, co m a systematicky vypracov an n avrh { n avrh { urcen jak splnit specikace { čím jsou návrhy přesnější, jednoznačnější a (semi-)formálně ověřitelnější, tím vyšší záruku lze vyslovit z aruku lze d at jen za to, co je adekv atne implementov ano { Programy, technologick e syst emy,..., vse, co realizuje to, co bylo specikov ano a navrzeno { čím přesněji implementace odpovídají specifikacím a návrhu, tím vyšší záruku lze vyslovit Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 17
19 Modelov y prklad bezpecnostn politiky zaveden a v yukov a bezpecnostn politika nepovoluje podvod { ops an dom ac ulohy (plagi at) at' jiz s vedomm nebo i bez vedom autora origin alu politikou stanoven y bezpecn y stav (bezpecnostn cl) { nikdo nevlastn kopii dom ac ulohy jin eho studenta studenti si uchov avaj sv e dom ac pr ace na skolnm poctaci Alice soubor se svou dom ac ulohou neoznac jako chr anen y proti cten jinou osobou Bob ulohu opse Kdo se choval v rozporu s bezpecnostn politikou? Alice?? Bob?? oba? Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 18
20 Modelov y prklad bezpecnostn politiky Odpov ed { bezpecnostn politiku nedodrzel pouze Bob politika zakazuje opisov an dom acch uloh Bob opisoval syst em se dostal do jin eho nez bezpecn eho stavu, Bob vlastn kopii Aliciny ulohy Alice si svoji dom ac ulohu nechr anila proti cten To ale bezpecnostn politika to nepozadovala Alice nijak nenarusila denovanou bezpecnostn politiku Pokud by politika student um predepisovala povinnost chr anit sv e dom ac ulohy pred ops anm, pak by Alice bezpecnostn politiku porusila Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 19
21 Vybran e m yty a nekter a dals fakta Vybran e m yty o n ekter ych bezpecnostnch n astrojch Nepopiratelnost (Non-repudiability) zajist pouzit digit alnch podpis u Hrozba kr adeze identity (Identity Theft) ve sv et e budovan em na b azi IT je a bude cm d al vce bude zdrojem nejv yznamejsch rizik N ekter a dals fakta o charakteru nastupujcch hrozeb Men se charakter utok u veden ych na IT { Dos ahlo se racion aln zvl adnut ochran proti fyzick ym utok um (ztr ata energie, propojen, dat... ) { Jakz takz se postupne zvl adaj ochrany proti syntaktick ym utok um (buer overow, command injection, protokolov e dry,... ) { Zacn a rychl y n ar ust s emantick ych utok u ( utok u clen ych na to, jak lid e ch apou obsah) Slozitost skladby IT n astroj u exponenci aln e roste M en se zranitelnost aplikac po prevodu do st'ov eho prostred,... Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 20
22 Hrozba s emantick ych utok u V yznamn e riziko dky,,prost'ov an"sv eta Lid e maj tendenci verit tomu co ctou na potvrzov an v erohodnosti,,nen cas" lid e jsou casto ob etmi chybn ych/falsovan ych statistik, legend a podvod u Podfuk se s velkou pravd epodobnost rozsr st'ov ym prostredm extr emn e rychle Komunikacn m edia se pouzvaj pro sren v erohodn ych stupidnost jiz po celou vecnost Soucasn e- a blzko-budouc poctacov e st e spust en takov ych utok u usnad nuj a zpr avy diseminuj extr emn e rychle digit aln podpisy, autentizace, integritn opatren... sren podfuk u nezabr an { s emantick e utoky jsou vedeny na HCI, nejm en e bezpecn e rozhran Internetu Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 21
23 Hrozba s emantick ych utok u, 2 Pouze amat er utoc na poctace a software Profesion al utoc na lidi ochrana proti s emantick ym utok um mus b yt clen a na soci aln resen, ne na matematicko-logick a (a technick a) resen Nastupuje fenom en kybernetick eho prostoru, je nutn e fenom en informacn bezpecnosti rozsrit na fenom en kybernetick e bezpecnosti Ke konceptu kybernetick eho prostoru a kybernetick e bezpecnosti se v uvodu jeste vr atme Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 22
24 Principy e-comm usnad nujc devastujc podvody Snadnost automatizace proces u stejn a automatizace, kter a cinn e-comm efektivn ejs nez klasick y byznys, zefektiv nuje i prov ad en podvod u podvod vyzadujc vynalozen destek minut casu v paprov em syst emu lze snadno prov est,,na jedno kliknut" resp. lze snadno jej periodicky opakovat principem 24 7 singul arn podvod s nzkou skodou ignorovateln y v paprov em syst emu m uze b yt hrozbou s velk ym rizikem v e-comm syst emu Izolovanost jurisdikce v mstech zdroje a cle utoku Geograe v elektronick em svete nehraje z adnou roli Utocnk nemus b yt fyzicky blzko syst emu, na kter y utoc. Utocit m uze ze zeme, { kter a,,nevyd av a zlocince", { kter a nem a adekv atn policejn apar at, { kter a nem a potrebn e pr avn z azem vhodn e ke sth an,... Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 23
25 Principy e-comm usnad nujc devastujc podvody, 2 Rychlost sren,,prost'ovan ym sv etem" pad elatel paprov ych pen ez monet arn syst em nezdevastuje { sirok a diseminace padelatelsk eho n astroje je nere aln a, { rychl e sren padelk u je obtzn e zpr ava jak podv est siroce pouzvan y e-comm syst em,,diseminovan a Internetem" (prp. s pripojen ym adekv atnm softwarov ym n astrojem) umozn,,si vhodn e kliknout"statisc um lid b ehem n ekolika dn { znalost jak podv est zskal 1 clov ek, utocit mohou statisce lid Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 24
26 D uv eryhodnost nepopiratelnosti, co je to digit aln podpis? Predpoklad mnoha soucasn ych pr avnch norem: D uv eryhodnost digit alnho podpisu je alespo n takov a jako d uv eryhodnost rukopisn eho podpisu Spl nuje digit aln podpis tento predpoklad? Form aln e pouzit y matematick y (kryptologick y) z aklad je vyhovujc S emanticka aktu digit alnho podpisu predpokladu nevyhovuje Predpoklad soucasn ych pr avnch norem: Alicin podpis dokumentu indikuje odsouhlasen jeho obsahu Alic D uv eryhodnost podpisu se zesiluje podpisem u not are Z digit alnho podpisu Alice nem uze soudce odvodit, ze Alice dokument vid ela Alice v z adn em prpade nepoctala podpis = dokument P Kmod n, v ypocet Alicina podpisu,,dokumentu"(kter eho???) d elal jej poctac Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 25
27 D uv eryhodnost nepopiratelnosti, co je to digit aln podpis?, 2 v ypocet Alicina podpisu,,dokumentu"d elal jej poctac Alice mus mt d uveru v to, ze jej aplikacn syst em podpisuje dokument, kter y j prezentuje (probl em trojsk ych ko n u) Alice mus mt d uveru, ze v jejm poctaci nikdo neodchyt av a jej PK { uchov an PK v bezpecn em modulu (karta) neres probl em podvrzen falesn eho dokumentu trojsk ym kon em M a-li b yt d uveryhodn y Alicin podpis dokumentu, mus b yt d uv eryhodn y Alicin poctac podpisujc dokument Nelze se spol ehat pouze na matematiku pro dosazen bezpecnosti vysok e riziko predstavuje d uv eryhodnost pouzit eho hardw./softw. Digit aln podpis Alice vypovd a pouze o tom, ze v dobe podpisov an byl pouzit y Alicin PK Digit aln podpis nic nerk a o tom, ze Alice podepsala dokument, kter y videla pri podpisov an Zad an pro budoucno { jak zajistit, ze Alicin poctac bude nezfalsovateln y (tamperproof ) Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 26
28 Hrozba enormnho n ar ustu slozitosti a rozsahu Enorm e nar ust a slozitost vnitrnch algoritm u (j adra) OS pocty instrukc spotrebovan ych ve Windows pri Zasl an zpr avy mezi procesy: 6K { 120 K podle pouzit e metody Vyvtoren procesu: 3M Vytvoren vl akna: 100K Vytvoren souboru: 60K Vytvoren semaforu: 10K { 30K Nahr an DLL knihovny: 3M Obsluha prerusen/v yjimky: 100K { 2M Prstup do syst emov e datab aze Registry: 20K... Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 27
29 Proc se zav ad syst em rzen informacn bezpecnosti Ctyri hlavn d uvody, proc organizace mus zajist'ov an informacn bezpecnosti manazersky rdit Urcuje tak pro organizaci z avazn a strategie, vl ada, matersk a organizace, spr avn rada,... rozhodla, ze v kontextu vseobecn ych podnikatelsk ych rizik je nutn e informacn bezpecnost spravovat (rdit) l epe Je nutn e, aby z akaznci/dodavatel e organizaci d uv erovali, je potreba z akaznk um ci dodavatel um demonstrovat, ze organizace pouzv a ty nejleps praktiky rzen informacn bezpecnosti existuje sance zskat konkurencn v yhodu Vyzaduj to z akonn e predpisy person aln soukrom, ochrana dat, nespr avn e pouzv an poctace Je nutn e vylepsit vnitrn efektivnost rzen IT Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 28
30 Syst em rzen informacn bezpecnosti, ISMS Pro efektivn rzen InSec mus organizace aplikovat adekv atn syst em manazersk eho resen Information Security Management System, ISMS souc ast celkov eho syst emu rzen organizace cl: na z aklad e pozn ani podnikatelsk ych rizik vybudov an, implementace, provozov an, monitorov an, prezkoum av an, udrzov an a vylepsov an InSec pripome nme pojem InSec, informacn bezpecnost: zabezpecen d uv ernosti, integrity a dostupnosti informacnch aktiv skladba: organizacn struktura, politiky, pl anovac cinnosti, odpov ednosti, praktiky (obvykl e metody), procedury, procesy, zdroje Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 29
31 Syst em rzen informacn bezpecnosti, ISMS Hardwarov a / softwarov a,,pultov a"resen individu alnch probl em u informacn bezpecnosti jsou nedostatecn a Rychle se mnoz st ale komplexn ejs, propracovan ejs a glob aln ejs hrozby pro informacn bezpecnost dky rozvoji technologi Roste pocet pozadavk u na vyhov en regulacnm opatrenm v oblasti zpracov an informac a zachov av an soukrom Resen: v organizaci mus fungovat, jako souc ast celkov eho syst emu rzen organizace, syst em rzen informacn bezpecnosti, ISMS syst em proces u zameren y na ustaven, zav aden, provozov an, prosazov an, monitorov an, prezkoum av an, udrzov an a zlepsov an informacn bezpecnosti zalozen y na prstupu organizace k rizik um v kontextu informacn bezpecnosti Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 30
32 Syst em rzen informacn bezpecnosti, ISMS ISMS reprezentuje ucelen y strukturovan y prstup k rzen InSec Navrhuje se tak, aby se postaral o efektivn interakci tr b azov ych komponent implementace InSec procesy (procedury) technologie chov an uzi vatel u N avrh a implementace ISMS mus vych azet z potreb a cl u, bezpecnostnch pozadavk u, organizacnch proces u, velikosti a struktury organizce nejde o jednor azov e, vsepokr yvajc resen ISMS mus b yt sk alovan y podle potreb organizace Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 31
33 Syst em rzen informacn bezpecnosti, ISMS Syst em rzen informacn bezpecnosti mus b yt prim eren y a sit y na mru konkr etn organizaci Politiky, procesy, procedury ISMS mus odr azet styl a kulturu organizace Prijat e procesy a procedury do ISMS mus odr azet v ysledky ohodnocen rizik. I kdyz n ekter a rizika jsou generick a pro vce organizac, jejich osetren b yv a vhodn e ust na mru konkr etnmu prostred organizace Politik am, proces um, procedur am ISMS mus organizace rozum et, nejl epe se jim porozum podlenm se na jejich v yvoji Politiky, procesy, procedury mus b yt aktu aln, hrozby bezpecnosti informac nar ustaj soucasn e s rozsirov anm a inovacemi IT organizace Soucasn a,,top"technologie budov an ISMS je denovan a standardem ISO/IEC 27001:2013 Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 32
34 Ekonomick y pohled { fakta Vybudovat si vlastn t ym zajist'ujc a prosazujc informacn bezpecnost je n akladn y a dlouhodob y proces. Aplikace strukturovan ych inzen yrsk ych postup u pri zabezpecov an IT se proto cm d al sreji uplat nuje jako samostatn y byznys. Na trhu outsourcingu informacn bezpecnosti popt avka prevysuje kvalitn nabdku, kupovat si informacn zabezpecov an jako sluzbu proto nen levn e. Mnoho rem a organizac si proto zabezpecov an d el a, v lepsm prpad e amat ersky vlastnmi silami, citem, v horsm prpad e myln e predpokl ad a, ze ochranu jejich zdroj u zajist v yrobce dodan eho software a hardware (a nebo p anb uh). Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 33
35 Tri cesty k zajist en informacn bezpecnosti Pro obhospodarov an citliv ych aktiv existuj 3 moznosti: A. Vytvorit v organizacn strukture alespo n na manazersk e urovni roli bezpecnostnho manazera a informacn bezpecnost zajistit outsourcingem pod jeho rzenm. B. Vytvorit v organizacn strukture bezpecnostn infrastrukturu a t ym schopn y pln e prosazovat informacn bezpecnost sv ymi silami. C. Nechat si bezpecnost IT zajist'ovat mnohdy i velmi iniciativn e vnitrnmi silami p usobcmi bez systematicky rzen eho veden vhodnou politikou, casto majoritn e motivovan ymi snahou prok azat sv e vlastn dokonalosti.!!! The road to hell is paved with good intentions!!! V enov an bezpecnosti IT pouze tolik energie, kolik je nutn e pro v yber,,bezpecn eho" software, cestu do pekel jen zkr at. Nic jin eho se tm nedos ahne. Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 34
36 Epiloque uvah zajist'ov an informacn bezpecnosti Z pohledu rzen organizace pomoc IT pesimismus nen na mst e Informacn bezpecnost v organizaci v yrazn e podpor politika informacn bezpecnosti a syst em rzen informacn bezpecnosti r adn e vypracovan a a systematicky prosazovan a politika, politika s kvalitou odpovdajc v ysi potenci alnch skod politika periodicky auditovan a z hlediska jejho dodrzov an a ucinnosti politika periodicky upres novan a podle v ysledk u auditu politika vypracovan a v uzk e n avaznosti na ostatn politiky organizace tak, aby byla zarucen a adekv atn kontinuita pln en cl u organizace i pri selh an n ekter ych ochran informacn bezpecnosti Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 35
37 Rekapitulace { co d elat pro zajist en InfSec Ohodnocen rizik mus se zn at akceptovateln a rizika musi se zn at kter e hrozby predstavuj neakceptovateln a rizika proti takov ym hrozb am se mus organizace br anit aplikac vhodn ych opatren Clem ohodnocen rizik je denovat opatren chr anc informacn aktiva pred zn am ymi hrozbami Opatren bud'to hrozby preventivn e eliminuj nebo snizuj zranitelnost aktiv nebo zamezuj prstupu utocnk um nebo um detekovat napaden aktiva a obnovit jeho stav pred utokem Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 36
38 Rekapitulace { co d elat pro zajist en InfSec Anal yza infrastruktury aby bylo mozn e ud elat hodnocen rizik, je treba analyzovat informacn syst emy zahrnut e do ochran, odhalit v nich zraniteln a msta a potenci aln utocnky je nutn e odhalit zranitelnosti vyuziteln e zn am ymi hrozbami je vhodn e pouzvat IDS (syst emy detekce pr uniku) pro odhalov an utok u, ke kter ym doch az v re aln em case je vhodn e detekovat dosud nezn am e utoky, tzv.,,zero day" utoky, tj, prsl. aktivity oznacovat jako,,divn y"nebo,,neobvykl e" efektivn je monitorov an server u a kritick ych infrastruktur, kontrolovat logy rewall u a kritick ych aplikac,... odhalen zranitelnost patr mezi prvn kroky pri hled an rizik Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 37
39 Rekapitulace { co d elat pro zajist en InfSec Rozpocet zabezpecov an vzdy je determinovan y profesnm (byznys) modelem organizace resit rozpocet z roku na rok nen prlis moudr e reaktivn resen bezpecnosti je chybn e, proaktivn je spr avn e Silnou roli hraj politika, procedury reakc na bezpecnostn incidenty DRP, Disaster Response Plan, havarijn pl an { co delat po katastrofe Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 38
40 Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 39
Koncept informacn bezpecnosti II
B azov y fenom en pri zajist'ov an bezpecnosti { riziko Koncept informacn bezpecnosti II PV 017 Rzen informacn bezpecnosti Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze
VíceRzen informacn bezpecnosti v organizaci
Rzen informacn bezpecnosti v organizaci Dodatek PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2016 Dodatek predn asky Oblasti rzen ovlivn
VíceRzen informacn bezpecnosti v organizaci
Dodatek predn asky Rzen informacn bezpecnosti v organizaci Dodatek PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Oblasti rzen ovlivn en e prosazov anm informacn
VíceProjekt implementace ISMS Dodatek 1, PDCA
Projekt implementace ISMS Dodatek 1, PDCA PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 PDCA { f aze Plan, podrobn eji 1. denov an oblasti
VícePrklad dokumentov e z akladny ISMS
Prklad dokumentov e z akladny ISMS podle z akona o kybernetick e bezpecnosti PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 Standard
VíceKoncept informacn bezpecnosti
Koncept informacn bezpecnosti PV 017 Rzen informacn bezpecnosti Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2016 Motto Bezpecnost nen cern a a bl a, bezpecnost
VíceKoncept informacn bezpecnosti
Motto Koncept informacn bezpecnosti PV 017 Rzen informacn bezpecnosti Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2016 Bezpecnost nen cern a a bl a, bezpecnost
VíceProjekt implementace ISMS
Projekt implementace ISMS PV 017 Bezpecnost IT Jan ÐStaudek Û Å«Æ ±²³ µ ¹º»¼½¾ Ý http://www..muni.cz/usr/staudek/vyuka/ Verze : podzim 2016 ISMS { Information Security Management System Metodicky vypracovan
VícePrklady opatren, zranitelnost a hrozeb
Prklady opatren, zranitelnost a hrozeb PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 Obsah Prklad kategori opatren podle ISO/IEC 27001/27002
VíceDistribuovan e algoritmy
Distribuovan e algoritmy PA 150 Principy operacnch syst em u Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 Distribuovan y syst em, distribuovan y algoritmus
VíceRzen reakc na bezpecnostn incidenty
Rzen reakc na bezpecnostn incidenty PV 017 Bezpecnost informacnch technologi Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 n Bezpecnostn ud alost, bezpecnostn
VíceAudit (prezkoum av an) bezpecnostnch opatren, politik, syst em u,...
Audit (prezkoum av an) bezpecnostnch opatren, politik, syst em u,... PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 Audit Audit (z lat.
VíceGPDR, General Data Protection Regulation
Obecn e narzen o ochran e osobnch udaj u, OU GPDR, General Data Protection Regulation PV 017 Rzen informacn bezpecnosti Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze :
VíceAplikacn bezpecnost. PV 017 Bezpecnost informacnch technologi. Jan Staudek Verze : podzim 2017
Aplikacn bezpecnost PV 017 Bezpecnost informacnch technologi Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2017 Informacn bezpecnost z pohledu aplikacnch syst
VíceAplikacn bezpecnost. Informacn bezpecnost z pohledu aplikacnch syst em u. PV 017 Bezpecnost informacnch technologi
Informacn bezpecnost z pohledu aplikacnch syst em u Aplikacn bezpecnost PV 017 Bezpecnost informacnch technologi Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim
VíceProjekt implementace ISMS
ISMS { Information Security Management System Projekt implementace ISMS PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 018 Syst em proces
VíceProjekt implementace ISMS, Dodatek 2, Pozn amky k projektov emu rzen
Projekt implementace ISMS, Dodatek 2, Pozn amky k projektov emu rzen PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2016 Obsah dodatku predn
VíceAudit (prezkoum av an) bezpecnostnch opatren, politik, syst em u,...
Audit Audit (prezkoum av an) bezpecnostnch opatren, politik, syst em u,... PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 Audit (z lat.
VíceRzen rizik. PV 017 Bezpecnost informacnch technologi. Jan Staudek Verze : podzim 2018
Rzen rizik PV 017 Bezpecnost informacnch technologi Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 Rizika Proc organizace stanovuje / modikuje / rozsiruje
VícePolitika informacn bezpecnosti
Politika Politika informacn bezpecnosti PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2019 Politika { pravidla rdic dosazen cl u urcen ymi
VíceUvod, celkov y prehled problematiky
Uvod, celkov y prehled problematiky PV 169 Z aklady prenosu dat Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 Organizace v yuky Predn as, zkous (zkouska
VíceN avrh a pouzit metrik informacn bezpecnosti, m eren v ISMS
Metriky a m eren informacn bezpecnosti N avrh a pouzit metrik informacn bezpecnosti, m eren v ISMS PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Organizace
VíceUvod, celkov y prehled problematiky
Organizace v yuky Uvod, celkov y prehled problematiky PV 169 Z aklady prenosu dat Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Predn as, zkous (zkouska psemn a) Jan Staudek,
Víceprojektu implementace ISMS
Obsah dodatku p redna sky Projekt implementace ISMS, Dodatek 2, Poznamky k projektovemu r zen 2 Podrobny popis kroku/v ystup u Projektu implementace ISMS 2 Poznamky, doporu cen k integraci ISMS s ostatn
VíceKrit eria hodnocen informacn bezpecnosti
Motivace pro hodnocen Krit eria hodnocen informacn bezpecnosti PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2017 Existuje produkt (syt em)
VíceISMS { Syst em rzen informacn bezpecnosti
ISMS { Syst em rzen informacn bezpecnosti PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 Syst em rzen informacn bezpecnosti Information
VíceVl akna. PB 152 Operacn syst emy. Jan ÐStaudek http://www..muni.cz/usr/staudek/vyuka/ Verze : jaro 2015
Vl akna PB 152 Operacn syst emy Jan ÐStaudek Û Å«Æ ±²³ µ ¹º»¼½¾ Ý http://www..muni.cz/usr/staudek/vyuka/ Verze : jaro 2015 Proces, resp. tak e task { drzitel zdroj u, vc. prostoru ve virtu aln pam eti
VíceAnatomie informacn bezpecnosti
Anatomie informacn bezpecnosti PV 017 Bezpecnost IT Jan ÐStaudek Û Å«Æ ±²³ µ ¹º»¼½¾ Ý http://www..muni.cz/usr/staudek/vyuka/ Verze : podzim 2016 Predm et ochrany { aktiva aktivum { predm et, myslenka,
VíceN avrh a pouzit metrik informacn bezpecnosti, m eren v ISMS
Metriky a m eren informacn bezpecnosti N avrh a pouzit metrik informacn bezpecnosti, m eren v ISMS PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Organizace
VíceKrit eria hodnocen informacn bezpecnosti, dodatek
Dopln ek predn asky pro samostudium Krit eria hodnocen informacn bezpecnosti, dodatek Následující podklady jsou doplňkem přednášky určený pro rozšířující samostudium PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/
VíceISMS { Syst em rzen informacn bezpecnosti
Syst em rzen informacn bezpecnosti ISMS { Syst em rzen informacn bezpecnosti PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 Information
VícePolitika informacn bezpecnosti, Dodatek
Politika informacn bezpecnosti, Dodatek PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2016 Obsah dodatku XXX tip u pro tvorbu politiky informacn
VícePolitika informacn bezpecnosti, Dodatek
Obsah dodatku Politika informacn bezpecnosti, Dodatek PV 017 Bezpecnost IT Politika informacn bezpecnosti dle z akona o kybernetick e bezpecnosti Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û
VícePl anu zachov an kontinuity podnik an,
Pl anu zachov an kontinuity podnik an, Business Continuity Plan, BCP, dodatek predn asky k ISMS PV 017 Bezpecnost IT Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Verze : podzim
VíceBezepečnost IS v organizaci
Bezepečnost IS v organizaci analýza rizik Zabezpečení informačního systému je nutné provést tímto postupem: Zjistit zranitelná místa, hlavně to, jak se dají využít a kdo toho může zneužít a pravděpodobnost
VíceSekven cn soubory. PV 062 Organizace soubor u. Jan Staudek Verze : jaro 2018
Sekven cn soubory PV 062 Organizace soubor u Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2018 Klasick e, standardn organizace soubor u hromada sekvencn soubor
VíceJako příklady typicky ch hrozeb pro IT lze uvést: Útok
Bezpečnost - úvod Zranitelné místo Slabinu IS využitelnou ke způsobení škod nebo ztrát útokem na IS nazýváme zranitelné místo. Existence zranitelných míst je důsledek chyb, selhání v analýze, v návrhu
VíceProjekt implementace ISMS Dodatek 4, Prklad politiky ISMS
Prklad kapitol politiky informacn bezpecnosti pro ISMS Projekt implementace ISMS Dodatek 4, Prklad politiky ISMS PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾
VícePodsyst em vstupu a v ystupu
Podsyst em vstupu a v ystupu PB 152 Operacn syst emy PV 062 Organizace soubor u Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2016 Osnova predn asky Vstup/v ystup
VíceOperacn syst emy { prehled
Komponenty poctacov eho syst emu Operacn syst emy { prehled PB 152 Operacn syst emy Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2017 uzivatel e (lid e, stroje,
VícePOMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1
POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Verze 2.1 Obsah 1. Úvod... 4 2. Vymezení pojmů... 5 3. Bezpečnostní opatření... 7 3.1. Organizační opatření... 7 3.1.1.
VíceOperacn syst emy { prehled
Operacn syst emy { prehled PB 152 Operacn syst emy Jan ÐStaudek Û Å«Æ ±²³ µ ¹º»¼½¾ Ý http://www..muni.cz/usr/staudek/vyuka/ Verze : jaro 2015 hardware Komponenty poctacov eho syst emu b azov e v ypocetn
VíceČSN ISO/IEC 27001 P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001
ČSN ISO/IEC 27001 Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky Představení normy ISO/IEC 27001 a norem souvisejících - Současný stav ISO/IEC 27001:2005
VícePl anu zachov an kontinuity podnik an,
Uvodem Pl anu zachov an kontinuity podnik an, Business Continuity Plan, BCP, dodatek predn asky k ISMS PV 017 Bezpecnost IT Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Kontinuita
VíceHasov an (hashing) na vn ejsch pam etech
Hasov an (hashing) na vn ejsch pam etech PV 062 Organizace soubor u Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2018 Obsah predn asky Jak algoritmicky dos ahnout
VícePoctacov e syst emy { prehled
Poctacov e syst emy { prehled PB 152 Operacn syst emy Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2017 Prol predm etu 1. etapa (1/4 obsahu, predn asek), uvod
VíceSpr ava hlavn pam eti
Spr ava hlavn pam eti PB 152 Operacn syst emy Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2017 Osnova predn asky Obecn e principy spr avy hlavn pam eti str ankov
VíceObnova transakc po v ypadku
Klasikace poruch Obnova transakc po v ypadku PA 150 Principy operacnch syst em u Jan ÐStaudek Û Å«Æ ±²³ µ ¹º»¼½¾ Ý http://www..muni.cz/usr/staudek/vyuka/ poruchy transakc logick e chyby v resen T nelze
VíceVl akna. Proces a vl akna. PB 152 Operacn syst emy. Resen editoru pomoc vl aken. Koncept sekvencnho procesu m uze b yt neefektivn
Proces a vl akna Vl akna PB 15 Operacn syst emy Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Proces, resp. tak e task { drzitel zdroj u, vc. prostoru ve virtu aln pameti pro
VícePV 017 Bezpecnost IT
Katalog opatren, ISO/IEC 27002 Dodatek predn asky Anatomie inform. bezpec., ilustracn v yklad PV 017 Bezpecnost IT Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Verze : podzim
VíceSpr ava hlavn pam eti
Osnova predn asky Spr ava hlavn pam eti PB 15 Operacn syst emy Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Obecn e principy spr avy hlavn pam eti str ankov an, paging hlavn pam eti, segmentov an,
VíceV Brně dne 10. a
Analýza rizik V Brně dne 10. a 17.10.2013 Ohodnocení aktiv 1. identifikace aktiv včetně jeho vlastníka 2. nástroje k ohodnocení aktiv SW prostředky k hodnocení aktiv (např. CRAMM metodika CCTA Risk Analysis
Víceehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti
Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti ehealth Day 2016 16.2.2016 Ing. Stanislav Bíža, Senior IT Architekt, CISA stanislav.biza@cz.ibm.com 12016 IBM Corporation Požadavky
VíceProcesy. PB 152 Operacn syst emy. Jan Staudek Verze : jaro 2017
Procesy PB 152 Operacn syst emy Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2017 Uvodem k proces um Poctacov a platforma se skl ad a z kolekce hardwarov ych prostredk
VíceISO/IEC 27002:2013. PV 017 Bezpecnost IT. ISO/IEC 27002:2013, Oddly kategori bezpecnosti. ISO/IEC 27002:2013, Popis kategori bezpecnosti
ISO/IEC 27002:2013 Katalog opatren, ISO/IEC 27002 Dodatek predn asky Anatomie inform. bezpec., ilustracn v yklad PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾
VíceSoubor, souborov e organizace
Soubor, souborov e organizace PV 062 Organizace soubor u Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2016 Osnova predn asky Pojem soubor, klc, operace se souborem,
VíceStandardy (normy) a legislativa. informacn bezpecnosti. Standardy (normy) a legislativa. PV 017 Bezpecnost IT
Standardy (normy) a legislativa Standardy (normy) a legislativa informacn bezpecnosti PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2019
VíceStandardy (normy) a legislativa informacn bezpecnosti
Standardy (normy) a legislativa informacn bezpecnosti PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2019 Standardy (normy) a legislativa
VíceTyp aktiv Aktivum Hrozba Zranitelnost Riziko
Zbytková rizika Typ aktiv Aktivum Hrozba Zranitelnost Částečná úroveň rizika Snížení hrozby Snížení zranit. Zbytkové Namapovaná opatření Riziko C I A T MAX Hodnota MAX Hodnota riziko ISO? specif.? Datová
VíceTyp aktiv Aktivum Hrozba Zranitelnost Riziko
Zbytková rizika Typ aktiv Aktivum Hrozba Zranitelnost Částečná úroveň rizika Snížení hrozby Snížení zranit. Zbytkové Namapovaná opatření Riziko C I A T MAX Hodnota MAX Hodnota riziko ISO? specif.? Datová
VíceDistribuovan e prostred, cas a stav v distribuovan em prostred
Distribuovan e prostred, cas a stav v distribuovan em prostred PA 150 Principy operacnch syst em u Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 Obsah predn
VíceDistribuovan e prostred, cas a stav v distribuovan em prostred
Obsah predn asky Distribuovan e prostred, cas a stav v distribuovan em prostred PA 150 Principy operacnch syst em u Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim
VíceČESKÁ TECHNICKÁ NORMA
ČESKÁ TECHNICKÁ NORMA ICS 35.020; 35.040 2008 Systém managementu bezpečnosti informací - Směrnice pro management rizik bezpečnosti informací ČSN 36 9790 Červen idt BS 7799-3:2006 Information Security Management
VíceSOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC
SOCA & Zákon o kybernetické bezpečnosti od teorie k praxi Ivan Svoboda & SOCA AFCEA CERT/SOC 31. 3. 2015 Týká se vás ZKB? Nebojte se zeptat Provedeme vás ANO NE ANO NE ANO ANO NE NE zdroj: Ne pro zákon,
VíceProcesy. Uvodem k proces um. PB 152 Operacn syst emy. Program a proces. Uvodem k proces um
Uvodem k proces um Procesy PB 152 Operacn syst emy Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2017 Poctacov a platforma se skl ad a z kolekce hardwarov ych prostredk
VíceVolba v udce, Leader Election
Volba v udce, Leader Election PA 150 Principy operacnch syst em u Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 Volebn probl em { Kdy a proc se vol vedouc
VíceStandardy (normy) a legislativa informacn bezpecnosti
Standardy (normy) a legislativa informacn bezpecnosti PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2017 Standardy (normy) a legislativa
Vícenová bezpečnostní identita nejen pro zákon pro skutečnou ochranu
nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu 22 let zkušeností komplexní řešení & dlouhodobý provoz nepřetržité dohledové centrum procesy, role & kompetence zkušení, certifikovaní odborníci
VíceStandardy (normy) a legislativa. informacn bezpecnosti. Standardy (normy) a legislativa. PV 017 Bezpecnost IT
Standardy (normy) a legislativa Standardy (normy) a legislativa informacn bezpecnosti PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2017
VíceTyp aktiv Aktivum Hrozba Zranitelnost Riziko
Zbytková rizika Typ aktiv Aktivum Hrozba Zranitelnost Částečná úroveň rizika Snížení hrozby Snížení zranit. Zbytkové Namapovaná opatření Riziko C I A T MAX Hodnota MAX Hodnota riziko ISO? specif.? Datová
VíceInformatika / bezpečnost
Informatika / bezpečnost Bezpečnost, šifry, elektronický podpis ZS 2015 KIT.PEF.CZU Bezpečnost IS pojmy aktiva IS hardware software data citlivá data hlavně ta chceme chránit autorizace subjekt má právo
VíceVolba v udce, Leader Election
Volebn probl em { Kdy a proc se vol vedouc uzel? Volba v udce, Leader Election PA 150 Principy operacnch syst em u Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim
VíceBezpečnostní politika společnosti synlab czech s.r.o.
Bezpečnostní politika společnosti synlab czech s.r.o. Platnost dokumentu: 1. března 2016 Datum vypracování: 2. února 2016 Datum schválení: 29. února 2016 Vypracoval: Schválil: Bc. Adéla Wosková, Ing. Jaroslav
VíceV Brně dne a
Aktiva v ISMS V Brně dne 26.09. a 3.10.2013 Pojmy ISMS - (Information Security Managemet System) - systém řízení bezpečnosti č informací Aktivum - (Asset) - cokoli v organizaci, co má nějakou cenu (hmotná
VíceInforma ní bezpe nost I Management bezpe nosti informa ních systém - ISMS. michal.slama@opava.cz
Informa ní bezpe nost I Management bezpe nosti informa ních systém - ISMS michal.slama@opava.cz Obsah Úvod bezpe nost IS Analýza rizik P ípadová studie Bezpe nost Informa ních systém Ochrana informa ních
VíceEfektivní řízení rizik ISMS. Luděk Novák, Petr Svojanovský ANECT a.s.
Efektivní řízení rizik ISMS Luděk Novák, Petr Svojanovský ANECT a.s. Obsah Proč řízení rizik ICT? Základní prvky řízení rizik ICT Příklady ohodnocení Potřeby řízení rizik ICT Registr rizik ICT Závěr Motto:
VíceInformacn teorie. PV 062 Organizace soubor u. Jan Staudek Verze : jaro 2018
Informacn teorie PV 062 Organizace soubor u Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2018 Cl predn asky Abychom mohli informace efektivn e ukl adat, zsk avat
VíceAudit ICT. KATALOG služeb. Ing. Jiří Štěrba
KATALOG služeb Ing. Jiří Štěrba Obsah Úvod 3 Služby 4 Zaměření 5 Nabídka 7 Poptávka 8 Ke stažení 9 Reference 10 Informace 11 Kontakty 12 2 Úvod Dovolte, abychom Vám poskytli informace, které jsou věnovány
VícePl anov an. PB 152 Operacn syst emy. Jan Staudek Verze : jaro 2017
Pl anov an PB 152 Operacn syst emy Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2017 Osnova predn asky Motivace: V multitaskingov ych syst emech existuje vce proces
VíceCertifikace systému managementu bezpečnosti informací dle ISO/IEC 27001
Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001 Hradec Králové duben 2009 2009-03 Informace versus Bezpečnost informací Informace (aktivum) - vše, co má hodnotu pro organizaci Bezpečnost
VíceProjektové řízení a rizika v projektech
Projektové řízení a rizika v projektech Zainteresované strany Zainteresované strany (tzv. stakeholders) jsou subjekty (organizace, lidé, prostory, jiné projekty), které realizace projektu ovlivňuje. Tyto
VícePodsyst em vstupu a v ystupu
Osnova predn asky Podsyst em vstupu a v ystupu PB 15 Operacn syst emy PV 06 Organizace soubor u Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Vstup/v ystup { Input/output {
VíceBezpečnostní aspekty informačních a komunikačních systémů KS2
VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní aspekty informačních a komunikačních systémů KS2 VŠFS; Aplikovaná informatika; SW systémy
VícePrepn an, switching. Propojovac probl em. PV 169 Z aklady prenosu dat. Prepnac, prepnan a st' Metody prepn an
Propojovac probl em Prepn an, switching PV 169 Z aklady prenosu dat Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Jak propojit dvoubodov ymi spoji mnoho zarzen? Kazd e zarzen s kazd ym? { Nerealistick
VíceStandardy (normy) a legislativa. informacn bezpecnosti. Standardy (normy) a legislativa. PV 017 Bezpecnost IT
Standardy (normy) a legislativa Standardy (normy) a legislativa informacn bezpecnosti PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2016
VíceKybernetická bezpečnost
Kybernetická bezpečnost Ondřej Steiner, S.ICZ a. s. 25.9.2014 1 Obsah Zákon co přináší nového? Nové pojmy KII vs VIS Příklady Povinnosti Jak naplnit požadavky Proč implementovat? Bezpečnostní opatření
VíceObnova transakc po v ypadku
Obnova transakc po v ypadku PA 150 Principy operacnch syst em u Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2016 Klasikace poruch poruchy transakc logick e
VíceImplementace systému ISMS
Implementace systému ISMS Krok 1 Stanovení rozsahu a hranic ISMS Rozsah ISMS Krok 2 Definice politiky ISMS Politika ISMS Krok 3 Definice přístupu k hodnocení rizik Dokumentovaný přístup k hodnocení rizik
VíceOCTAVE ÚVOD DO METODIKY OCTAVE
OCTAVE ÚVOD DO METODIKY OCTAVE Velká závislost organizací na informačních systémech s sebou přináší také nemalé požadavky na zabezpečení zpracovávaných a uložených informací. Důvěrnost, dostupnost a integrita
VíceSign aly. PV 169 Z aklady prenosu dat. Jan Staudek Verze : podzim 2018
Sign aly PV 169 Z aklady prenosu dat Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 Data a sign aly Clem komunikac je prenos reprezentac fakt u, pojm u, hlasu,
VíceSign aly. Data a sign aly. PV 169 Z aklady prenosu dat. Sign al, elektromagnetick y sign al. (Elektromagnetick y) sign al
Data a sign aly Sign aly Clem komunikac je prenos reprezentac fakt u, pojm u, hlasu, text u, obraz u, vide,... { data (resp. informace) Predm etem prenosu dat mezi zdrojem a clem jsou data PV 169 Z aklady
VíceNávrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB
Návrh vyhlášky k zákonu o kybernetické bezpečnosti Přemysl Pazderka NCKB Východiska ISO/IEC 27001:2005 Systémy řízení bezpečnosti informací Požadavky ISO/IEC 27002:2005 Soubor postupů pro management bezpečnosti
VíceTypologie, funkcn skladba a architektury OS, prklady z Windows, Unix, Linux, MAC OSx
Typologie, funkcn skladba a architektury OS, prklady z Windows, Unix, Linux, MAC OSx PB 152 Operacn syst emy Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2016
VíceGENDEROVĚ PŘÁTELSKÝ ÚŘAD SLANÝ PODKLAD K E-LEARNINGOVÉMU KURZU
GENDEROVĚ PŘÁTELSKÝ ÚŘAD SLANÝ PRAHA 2013 2 ÚVOD E-learningový kurz Genderově přátelský úřad Slaný vznikl v rámci projektu "Nastavení rovných příležitostí na MěÚ Slaný" registrační číslo: CZ104/3404/8800208,
VíceNávrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.
Návrh zákona o kybernetické bezpečnosti Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.cz Předmět úpravy VKB Obsah a strukturu bezpečnostní dokumentace
VíceNávrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.
Návrh zákona KB Národní centrum KB Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.cz Návrh ZKB # Proč ZKB? # Jak to začalo? # Oblasti regulace ZKB #
VíceTypologie, funkcn skladba a architektury OS, prklady z Windows, Unix, Linux, Android
Typologie, funkcn skladba a architektury OS, prklady z Windows, Unix, Linux, Android PB 152 Operacn syst emy Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2017
VíceVirtu aln pam et' PB 152 Operacn syst emy. Jan Staudek Verze : jaro 2017
Virtu aln pam et' PB 152 Operacn syst emy Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2017 Virtualizace pam eti principy, z aklady str ankov an na z adost, Demand
VíceANECT, SOCA a bezpečnost aplikací
ANECT, SOCA a bezpečnost aplikací Ivan Svoboda IDG Cyber Security 2015 Agenda 01 Rizika a problémy při řešení kybernetické bezpečnosti Jak Vám může ANECT pomoci služby SOCA Konkrétní příklady z praxe 21.10.2015
VíceNávrh individuálního národního projektu. Podpora procesů uznávání UNIV 2 systém
Návrh individuálního národního projektu Podpora procesů uznávání UNIV 2 systém 1. Název projektu Podpora procesů uznávání UNIV 2 systém Anotace projektu Předkládaný projekt navazuje na výsledky systémového
Více