N avrh a pouzit metrik informacn bezpecnosti, m eren v ISMS

Transkript

1 Metriky a m eren informacn bezpecnosti N avrh a pouzit metrik informacn bezpecnosti, m eren v ISMS PV 017 Bezpecnost IT Jan Staudek Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Organizace mus hodnotit v ykonnost informacn e-bezpecnostnch opatren a efektivnosti ISMS Potrebuje mechanismy pro meren efektivnosti implementace bezpecnostnch opatren Merenm se zsk avaj data podporujc investice do InSec, hodnocen ucinnosti opatren a pro identikace moznost jak zv ysit jejich ucinnost Standard m eren informacn bezpecnosti ISO/IEC 7004: 009, Information technology Security techniques Information security management Measurement Verze : podzim 015 Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 1 Metriky, m eren informacn bezpecnosti a ISMS Co a kdy se mer a co je clem meren urcuje politika organizace Procesy souvisejc s m erenm jsou do cyklu PDCA zacle nov any n asledovn e Proc se mer? Clem m eren je poskytnut informac pro posouzen a prpadn e zv ysen efektivnosti ISMS ISO 7001 narizuje prov adet meren pro demonstraci toho jak dobre ISMS pracuje Zvysov anm efektivnosti ISMS se rozum zlepsov an v ykonnosti n astroj u informacn bezpecnosti z pohledu celkov ych podnikatelsk ych rizik organizace M eren dod av a managementu vstupy pro prezkoum av an ISMS pro usnadn en rozhodov an souvisejcch s ISMS M erenm se zsk avaj d ukazy pro zlepsen implementace ISMS Pro zsk an d ukaz u mus b yt stanoven e mry a metody meren a postupy vyhodnocov an nam eren ych dat Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 3

2 Kroky n avrhu a pouzit metrik 1. V yber objekt u, pro kter e se navrhuj metriky. Inici aln semi-form aln interview se zainteresovan ymi stranami 3. N avrh prvn verze metrik 4. N asledn e semi-form aln interview se zainteresovan ymi stranami 5. Dokoncen denic metrik, metod meren, M eren pomoc navrzen ych metrik 7. Agregace v ysledk u na z aklade zskan ych dat a vytvoren zpr avy o m eren Zsk avan e metriky mus b yt denovan e, analyzovan e a v ysledky anal yzy ve vhodn em, n azorn em form atu (grafy, r uzne barven e texty,... ) sdelen e odpovedn ym rolm Co se mer Meren ym objektem m uze b yt implementovan y proces ISMS, procedura, opatren,... objekt, kter y nejakou formou souvis s prosazov anm ITSec Meren y objekt m a jednu nebo vce vlastnost Vlastnost { charakteristika rozlisiteln a kvalitativn e nebo kvantitativn e, manu aln e nebo automatick ymi n astroji M er se vlastnosti relevantn pro posouzen prnosu objektu pro dosazen pozadovan e urovn e informacn bezpecnosti Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 4 Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 5 M eren, metriky, metody, modely, v ysledek m eren M erenm objektu (procesu ISMS, procedury, opatren,... ) se rozum proces zsk an informac o objektu M eren probh a podle jist e metody m eren, zsk avaj se z akladn metriky Ze z akladnch metrik se prpadn e se pomoc urcit e m erc funkce zsk avaj odvozen e metriky. Z obou typ u metrik se pomoc relevantnho analytick eho modelu odvozuj indik atory spln en / nespln en pozadovan ych cl u pouzit objektu (procesu ISMS, procedury, opatren,... ) Z indik ator u se pomoc denovan ych rozhodovacch krit eri odvozuje strucn y a jednoznacn y v ysledek m eren Metriky Metrika { prom enn a obsahujc informaci zskanou m erenm Metriky nemus nutn e b yt objektivn, hmatateln e, konkr etn mohou b yt i subjektivn, neurcit e, napr. v ysledky interview, audit u, hodnocen dopad u bezpecnostnch skolen { r ust bezp. vedom Metriky nemus nutn e mt diskr etn hodnoty lze pouzt vyhodnocov an toho co a jak lid e rkaj Syst em zsk av an metrik nemus b yt n akladn y, lze vyuzt existujc zdroje typu statistiky z Help desk sledov an reakc z akaznk u sledov an frekvenc resen bezp. probl em u managementem,... Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 6 Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 7

3 Metriky Metrika mus b yt SMART (Specic, Measurable, Actionable, Relevant, Timely) Pravidlo 80/0 zamer se na tech 0% z mozn ych metrik, kter e odpov na 80 % ot azek Identikovan e metriky mus b yt snadno m eriteln e, nejl epe automaatizovan e Rozm ery, mry, nemus nutn e b yt absolutn v aha se mer na kp, d elka na m hodnota v ysledku meren bezpecnostn vlastnosti m uze b yt vyjadrovan a indexem ve sk ale, pouzit a sk ala m uze b yt subjektivn Metriky Prlis cast e meren m uze b yt nam ahav e a drah e, nzk a frekvence mcren m uze poskytovat irelevantn data Nam eren e hodnoty se vesm es vyjadruj pomoc vhodn ych stupnic Stupnice { uspor adan a mnozina spojit ych (metrick ych) nebo diskr etnch hodnot vlastnost meren eho objektu nebo mnozina kategori, do kter ych se zobrazuj vlastnosti meren eho objektu Typ stupnice je dan y vztahem mezi hodnotami ve stupnici Vyj adren metriky numericky ci procentem redukuje subjektivnost Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 8 Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 9 Sk ala, stupnice (scale) Sk ala, stupnice (scale) Nomin aln stupnice { kvalitativn stupnice o jejz dvou hodnot ach m uzeme pouze rci, zda jsou stejn e ci r uzn e. Hodnotami mohou b yt texty ci cseln e k ody, lze u nich zjist'ovat jen rozd elen cetnost, nem uzeme s nimi prov ad et aritmetick e operace (sctat apod.) Sest av a ze dvou ci vce vz ajemne se vylucujcch kategori (trd). Hrozby: podvod, ztráta důvěrnosti, znepřístupnění,... Ordin aln (poradnicov a) stupnice { kvalitativn stupnice u jejz dvou hodnot ach m uzeme navc urcit porad, pricemz useky mezi jednotliv ymi hodnotami nemus b yt stejn e (stejne v yznamn e) Riziko: zanedbatelné, běžné, katastrofické,... Intervalov a stupnice { kvantitativn stupnice pro jejz dv e hodnoty m uzeme navc (k moznostem ordin aln) vypoctat, o kolik je jedna hodnota v ets (resp. mens) nez druh a, nulov a pozice je vec volby. Meren e useky na stupnici jsou stejne velk e. Nelze vyjadrovat pomer { x vets IQ x vets chytrost Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 10 Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 11

4 S kala, stupnice (scale) Pragmaticke uvahy o navrhu m er en bezpe cnosti Pom erova, racionaln stupnice { kvantitativn stupnice pro jej z dv e hodnoty mu zeme nav c (k mo znostem kvalitativn ) vypo c tat, kolikrat je jedna hodnota v et s (resp. men s ) ne z druha, obsahuje pouze o kladne hodnoty. Co m er it? X jen to, co chceme opakovan e, systematicky, rutinn e vyhodnocovat X sb rame jen ta data, ktera budeme analyzovat X d elame jen ty analyzy, jejich z vysledky prakticky vyu zijeme Jak m er it? X Mus me de novat kdo d ela m er en X Mus me v ed et jak bezpe cn e uchovavat vysledky m er en X Za c name s minimaln m rozsahem m er en a m er en roz si rujeme Nulova pozice na pom erove stupnici je dana pevn e a vyjad ruje naprostou nep r tomnost m er ene vlastnosti. a z kdy z se uka ze nutnost m er en roz s r it, metoda KISS (Keep It Simple and Stupid) N eco se d eje x c ast eji ne z n eco jineho. Jak dokumentovat, jak prezentovat vysledky m er en? X viz system zprav v nasleduj c m vykladu X mus me de novat jak implementovat zpravodajsky system Jan Staudek, FI MU Brno PV017 { Metriky, me ren v z ivotn m cyklu ISMS 1 Jan Staudek, FI MU Brno PV017 { Metriky, me ren v z ivotn m cyklu ISMS 13 Model m er en informa cn bezpe cnosti Prezentace vysledk u m er en System zprav ma p redpisovat bezpe cnostn politika, nap r. vyro cn velmi duv erna hodnot c zprava pro CEO (Chief Executive Officer) a p redstavenstvo c tvrtletn duv erny report pro vy ss management organizace odpov edny stav bezpe cnosti X ob e zpravy typicky podav a bezpe cnostn architekt vychaz typicky z m es c n ch reportu { viz n z e m es c n reporty pro CTO (Chief Technology Officer ) / CIO (Chief Information Officer) / CISO (Chief Information Security Officer) X zpravy podavaj role odpov edne za vykon/ r zen bezpe cnosti Jan Staudek, FI MU Brno PV017 { Metriky, me ren v z ivotn m cyklu ISMS 14 Jan Staudek, FI MU Brno PV017 { Metriky, me ren v z ivotn m cyklu ISMS 15

5 Kroky pri konstrukci v ysledku m eren Z akladn metriky a metody m eren Z akladn metrika je dan a metodou m eren a m erenou vlastnost objektu m eren Metoda m eren Genericky popsan y logick y sled operac pro kvantikaci vlastnost meren eho objektu v dan e sk ale hodnot Typ metody meren z avis na povaze operac pouzit ych pro kvantikaci vlastnost: - Subjektivn: kvantikace zahrnujc lidsk y usudek - Objektivn: kvantikace na z aklade numerick ych pravidel Operac m uze b yt ct an v yskyt u, sledov an behu casu, audit, interview,... Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 16 Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 17 Prklad z akladn metriky, metody m eren,... Clem je meren trendu vyhoven politice Zajišt ování vědomí zaměstnanců o informační bezpečnosti Predmet (objekt) meren { syst em skolen v ITSec Meren e vlastnosti { zamestnanci identikovan v pl anu skolen, zamestnanci, kter uspesne absolvovali skolen Metody meren { ct an zamestnanc u v pl anu skolen a zamestnanc u s uspesne slozenou z averecnou zkouskou po skolen Z akladn metriky { pocty pl anovan ych/ uspesne proskolen ych osob Odvozenou metrikou je trend proskolov an v pr ubehu roku, zskanou vhodnou merc funkc ze z akladnch metrik Pro odvozen indikace problematick eho trendu se pouzij { vhodn y analytick y model, { z akladn a odvozen e metriky a { adekv atn rozhodovac krit eria (probl emem je jak pre- i poddimenzov an rychlosti proskolov an) Vybran e prklady predm et u (objekt u) m eren V ykonnost opatren implementovan ych v ISMS Stav informacnch aktiv chr an en ych opatrenmi V ykon proces u implementovan ych v ISMS Chov an person alu podl ehajcho implementovan emu ISMS... Cinnosti organizacnch jednotek odpov edn ych za informacn bezpecnost Urove n spokojenosti z ucastn en ych stran Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 18 Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 19

6 Zdroje informac o predm etech m eren a jejich vlastnost V ysledky anal yzy rizik a posuzov an rizik Dotaznky a interview Zpr avy internch a / nebo externch audit u Z aznamy o ud alostech, jako jsou protokoly (logy), statistick e udaje a zjisten z audit u Zpr avy o incidentech, zejm ena ty, kter e zp usobily skody V ysledky test u, napr. penetracnch test u, soci alnho inzen yrstv, vyhov en regulacnm opatrenm a politik am Z aznamy z procedur a program u souvisejcch s informacn bezpecnost organizace, napr. v ysledky skolen o informacn bezpecnosti Potenci aln metriky bezpecnosti informac, ISO/IEC 7004 Statistiky zm en IT pocty a trendy zmen z d uvod u odhalen katastrock ych, v yznamn ych, bezn ych, akceptovateln ych rizik pocty a trendy n avrat u k predchozm resenm pocty a trendy uspesn ych vs. ne uspesn ych zmen metriky vyzr av an IT proces u souvisejcch s bezpecnost polocas aplikace bezpecnostnch z aplat { za jak dlouho se z aplaty umst na vce nez 50% zraniteln ych syst em u Statistiky dopad u skodliv eho software pocty vir u, Trojsk ych ko n u, spamu, trendy techto poct u Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 0 Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 1 Potenci aln metriky bezpecnosti informac, ISO/IEC 7004 Potenci aln metriky bezpecnosti informac, ISO/IEC 7004 Statistiky odvozen e z audit u externch auditor u pocty a trendy poct u doporucen auditor u krizov a, v azn a, upozor novac odhalen,... trendy akceptov an doporucen z auditu managementem Prklad doporucen auditor u ve sk ale klasikac zjist en ych nedostatk u Z avaznost A { zjisten y nedostatek je velmi z avazn y (velmi v yznamn y). Velmi v yznamne narusuje bezpecnost syst emu. Doporucujeme co nejrychlejs (pokud mozno okamzit e) odstranen nedostatku. V prpade nov eho syst emu doporucujeme odstranen nedostatku jeste pred jeho nasazenm. pokrac. Z avaznost B { zjisten y nedostatek je stredne z avazn y (v yznamn y). Ohrozuje bezpecnost syst emu, avsak ohrozen nen bezprostredn nebo nen velmi z avazn e. Nedostatek by mel b yt odstranen pri nejblizs vhodn e prlezitosti. Z avaznost C { zjisten y nedostatek nen z avazn y, neznamen a konkr etn ohrozen bezpecnosti syst emu, ale m uze b yt povazov an za prestupek proti bezpecnostnm zvyklostem. Hodnotitel e doporucuj odstranen tohoto nedostatku pri vhodn e prlezitosti, nerespektov an tohoto doporucen nemus v est k ohrozen bezpecnosti syst emu. Z avaznost nen { zjisten y nedostatek nen z avazn y, neznamen a konkr etn ohrozen bezpecnosti syst emu, ale m uze b yt povazov an za prestupek proti bezpecnostnm zvyklostem. Vetsinou se jedn a o prpady, kdy hodnotitel e si jsou vedomi skutecnosti, ze za soucasn eho stavu technologie nen k dispozici prijateln e technick e resen, kter e by toto relevantne odstranilo. Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 3

7 Potenci aln metriky bezpecnosti informac, ISO/IEC 7004 Potenci aln metriky bezpecnosti informac, ISO/IEC 7004 Konkr etn prklady zjist en ych nedostatk u a jejich klasikac Z avaznost A { Procesy pro tisk PIN u vyzaduj, aby na tiskov em poctaci bylo rucne meneno syst emov e datum na ktivn hodnoty. Tato praxe je nez adouc, je v rozporu s pozadavky na bezpecn e protokolov an. Z avaznost nen { Heslo BIOS je u vsech poctac u stejn e, men se ve vcelet ych intervalech. Skutecnost, ze toto heslo je zn amo i externm pracovnk um je bezpecnostnm rizikem, avsak za soucasn eho stavu technologie nen k dispozici prijateln e technick e resen, kter e by toto riziko odstranilo. Ve v yvojov em nebo v testovacm prostred se pouzvaj ziv a data o z akazncch. Z avaznost B { K tiskov emu PC se pracovnci prihlasuj jedin ym spolecn ym uzivatelsk ym jm enem. Jednotliv pracovnci nemaj individu aln ucty. Z avaznost C { V session-id syst emu XXXX nen zabudov ana IP adresa klienta, kter y vytvoril pozadavek (je zde tedy potenci aln hrozba, zda nen mozn e un est sezen na jinou IP adresu). Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 4 Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 5 Potenci aln metriky bezpecnosti informac, ISO/IEC 7004 Statistiky odvozen e z audit u odd elenm vnitrn kontroly obvykle jsou detailnejs, pokr yvaj vce probl em u organizace mohou b yt ale m ene objektivn Statistiky Help Desk pocty a typy dotaz u, z adost, upozornen, kritik,... pocty z adost o zmenu hesla,... Statistiky bezpecnostnch incident u pocty a trendy poct u pr unik u, phishing utok u,... hodnocen detekc a efektivnost n aprav Potenci aln metriky bezpecnosti informac, ISO/IEC 7004 Statistiky z rewall u pocty a trendy poct u prstup u na zak azan e zdroje z organizace pocty a trendy poct u hackersk ych utok u Statistiky zranitelnost syst em u a st'ov ych prostred pocty zn am ych zraniteln ych mst pocty a trendy jejich likvidac, objevov an rychlost oprav z aplatami od v yrobc u... Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 6 Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 7

8 Prklady metrik opatren na urovni aplikacn bezpecnosti Spr ava tajn ych autentizacnch informac uzivatel u % aplikac s implicitnm heslem prodejce software % aplikac s podporou politiky hesel Hodnocen prstupov ych pr av uzivatel u % kritick ych aplikac s periodicky posuzovan ymi prstupov ymi pr avy Omezov an prstupu k informacm Prklady metrik opatren na urovni aplikacn bezpecnosti Zaznamen av an bezpecnostnch ud alost % aplikac sledovan ych v rezimu 4x7x365 % aplikac s pravidelne prov adenou anal yzou z aznam u ud alost Prejmac testov an syst emu % aplikac spl nujcch z akladn bezpecnostn standardy % aplikac s vypracovan ym pl anem zachov an cinnosti % aplikac s dokumetovan ymi rolemi a opr avnenmi Separace v yvojov eho, testovacho, akceptacnho a provoznho prostred % kritick ych aplikac kter e maj denovan a tato prostred Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 8 Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 9 Ucastnci m eren Prklad zaveden m eren (dokument) Ucastnci m eren Meren poskytuje informace pro... management ISMS, bezpecnostn management a pro management..., jsou to klienti meren (Clients for measurement) Princip meren validuje bezpecnostn manazer, je hodnotitel meren (Reviewer for measurement) Vlastnky informac o meren ych objektech jsou... spr avce informacn bezpecnosti, manazer..., jsou to vlastnci informac (Information Owners) Data nutn a pro meren shromazd'uje, zaznamen av a a uchov av a... IT oddelen,..., jejich zamestnanci jsou merici (Information Collectors) Anal yzu a zverejnen v ysledk u meren prov adej manazeri odpovedn za ISMS, jsou interpret atori v ysledk u meren (Information Communicators) N azev m eren Obnova ze z alohy Cseln a (katalogov a) identikace m eren... Cl m eren Zskan d ukaz u potvrzujcch platnost z aruky, ze se kazd a pozadovan a operace obnovy provede do 48 hodin M eren y objekt (bezpecnostn opatren) Z alohovac postupy a procesy zajist'ujc integritu a dostupnost informac a prostredk u pro zpracov an informac, Prijat a politika z alohov an organizace zajist'uje pravideln e vytv aren a testov an z alozn kopie informac a software Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 30 Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 31

9 Prklad m eren, Predm ety m eren a jejich vlastnosti Podrobn y v ycet predmet u (objekt u) meren O1: Syst em spr avy pozadavk u na obnovu ze z alohy O: Z aznamy z alohovacho syst emu (logy) Vlastnosti objektu O1, syst emu spr avy pozadavk u na obnovu ze z alohy, A1: Pozadavky na obnovovac operaci Vlastnosti objektu O, z aznam u z alohovacho syst emu A: Okamziky startu a ukoncen operac obnovy Prklad m eren, Z akladn metriky a metody m eren Z akladn metriky B1: Pocet pozadavk u na operaci obnovy B.1: Doby startu a ukoncen operac obnovy B.: Pocet proveden ych operac obnovy Metody m eren, Mi.j m er z akladn metriku Bi.j M1: Spoctaj se pozadavky na operaci obnovy zadan e za posledn mesc M.1: Zaznamenaj se doby startu a ukoncen vsech operac obnovy proveden ych za posledn mesc M.: Spoctaj se proveden e operace obnovy za posledn mesc Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 3 Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 33 Prklad m eren, Z akladn metriky a metody m eren Typy metod m eren Vsechny metody meren jsou objektivn Stupnice, typy stupnic, jednotky m eren pro B1: pro B.1: pro B.: integer, nomin aln, pocet pozadavk u na obnovovac operace y-m-d-t, intervalov a, { integer, pomerov a, pocty obnovovacch operac Prklad m eren, Specikace odvozen ych metrik Odvozen e metriky D1: pomer poctu operac obnovy proveden ych za posledn mesc a operac obnovy pozadovan ych za posledn mesc, D1 = B./B1 D: pocet operac obnovy proveden ych za posledn mesc, D = B.1 D3: doby za kter e se provedly operace obnovy proveden e za posledn mesc M erc funkce, Fi vypoct av a Di F1: del se pocet operac obnovy proveden ych za posledn mesc poctem operac obnovy pozadovan ych za posledn mesc F: spoct a se pocet operac obnovy proveden ych za posledn mesc F3: pro kazdou operaci obnovy se spoct a jak dlouho trvala, doba ukoncen { doba startu Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 34 Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 35

10 Prklad m eren, Indik atory a analytick y model Prklad m eren, Rozhodovac krit eria a v ysledky m eren Indik atory I1: kol acov y graf vyjadrujc pomer pozadovan ych operac obnovy, kter e bylo mozn e prov est I: kol acov y graf vyjadrujc pomer operac obnovy, kter e se provedly do 48 hodin Analytick y model, AMi generuje Ii AM1: Pocet proveden ych operac obnovy se vyj adr zelenou barvou, pocet neproveden ych operac se vyj adr cervenou barvou AM: Pocet proveden ych operac obnovy do 48 hodin se vyj adr zelenou barvou, pocet proveden ych operac za dels dobu se vyj adr cervenou barvou Rozhodovac krit eria DC1: Mus b yt provedeny vsechny operace obnovy DC: Vsechny operace obnovy mus b yt provedeny do 48 hodin Interpretace indik ator u Ii I1: Pokud se neprovedlo 100 % pozadovan ych operac obnovy, mus se zjistit d uvody a tyto sdelit podle postupu denovan eho v ISMS zpr avou I: Pokud se neprovedlo 100 % proveden ych operac obnovy do 48 hodin, mus se zjistit d uvody a a tyto sdelit podle postupu denovan eho v ISMS zpr avou Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 36 Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 37 Prklad m eren, Ucastnci m eren, harmonogram Zpr avu o v ysledcch meren dost av a vlastnk z alohovan eho syst emu pouzvajcho sluzbu z alohov an (management jednotky pouzvajc z alohovan y syst em) spr avce a t ym zajist'ujc chod z alohujcho syst emu prov adejcho sluzbu z alohov an Prklad m eren, Zpr ava zpr ava mus mt strukturu predepsanou pro dokumenty v ISMS Nze jsou ilustrovan e pouze indik atory vypovdajc v tomto prpade o nzk e kvalite z alohovacho syst emu Hodnotitel m eren: bezpecnostn manazer Vlastnci informac: IT odd elen M erici: IT odd elen, spr avci z alohovacho syst emu Interpret atori: manazer ISMS Harmonogram: perioda meren, anal yzy, generov an zpr avy { mesc perioda hodnocen a revize meren { rok Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 38 Jan Staudek, FI MU Brno PV017 { Metriky, meren v zivotnm cyklu ISMS 39