V Brně dne a

Save this PDF as:
 WORD  PNG  TXT  JPG

Rozměr: px
Začít zobrazení ze stránky:

Download "V Brně dne a"

Transkript

1 Aktiva v ISMS V Brně dne a

2 Pojmy ISMS - (Information Security Managemet System) - systém řízení bezpečnosti č informací Aktivum - (Asset) - cokoli v organizaci, co má nějakou cenu (hmotná a nehmotná) Aktiva jsou veškerý hmotný a nehmotný majetek! Skupiny pro rozdělení aktiv : - informační aktiva (informace, data) - hardwarová aktiva (technické prostředky hardware) - softwarová aktiva (technické prostředky software) - služby poskytované prostřednictvím t informačních č íhsystémů ů Těmito skupinami aktiv je definován rozsah ISMS. Aktiva v ISMS 2

3 Základní kritéria informační bezpečnosti Důvěrnost (Confidentionality) - zajištění přístupu k informacím a poskytnutí pouze oprávněným osobám Integrita (Integrity)- zajištění správnosti a úplnosti informací Dostupnost (Availability) - zajištění dostupnosti informací pro oprávněné uživatele v okamžiku potřeby + Efektivita (Effectiveness) Účinnost (Efficiency) Soulad (Compliance) Spolehlivost (Reliability) = Informační kritéria Důvěrnost, Integrita, Dostupnost 3

4 Ohodnocení aktiv 1. identifikace aktiv včetně jeho vlastníka 2. nástroje k ohodnocení aktiv SW prostředky k hodnocení aktiv (např. CRAMM metodika CCTA Risk Analysis and Management Method) CCTA organizace, která metodiku vyvinula v roce stanovení stupnice a hodnotících kritérií, např.: bezvýznamné riziko akceptovatelné riziko nízké riziko nežádoucí riziko nepřijatelné riziko 4. hodnocení nákladů v důsledků porušení (3 základní kritéria) - důvěrnosti Stanovené hodnoty slouží jako základ pro analýzu rizik!!! - integrity - dostupnosti Analýza rizik (Risk Analysis) je systematické používání informací pro odhad míry rizika a určení jeho zdrojů. Aktiva v ISMS 4

5 Riziko, hrozba, zranitelnost, dopad Riziko (Risk) je kombinace hrozby a zranitelnosti s dopadem na aktivum. Hrozba (Treat) je událost ohrožující bezpečnost (zneužití zranitelnosti). Zranitelnost (Vulnerability) je slabé místo aktiva. Dopad (Impact) je vznik škody v důsledku působení hrozby. Hrozby Zranitelnosti Aktiva: služby a data informačního systému Dopady Riziko, Hrozba, Zranitelnost, Dopad 5

6 Výpočet hodnoty aktiva Součtový algoritmus je nejpoužívanější a nejjednodušší. Součet hodnot jednotlivých komponent dělený počtem komponent Příklad 3 komponent: (x+y+z/3) - Dostupnost + důvěrnost +integrita / 3 Hodnotící škála 1 5 Aktivum data o zákaznících poskytovaná systémem 1 hodnota aktiva (hledisko dostupnosti) - 5 (hledisko důvěrnosti) - 5 (hledisko integrity) - 3 Celková váha aktiva data o zákaznících - (5+5+3)/3=4, tedy může se jednat o Tím je také dáno definování dopadu! Příklad tabulky hodnocení aktiva: Aktiva v ISMS 6

7 Příklad tabulky hodnocení aktiva výpočet hodnoty aktiva pomocí váhy hodnotící íškála 1 5 součtový č maximální je 5 algoritmus aktivum zdroj Dostupnost důvěrnost integrita váha informace o zákaznících systém síťové disky uživatelské stanice atd. Aktiva v ISMS 7

8 Normativní podpora Následuje analýza rizik například dle ČSN ISO/IEC 27005: Informační technologie - Bezpečnostní techniky - Řízení rizik bezpečnosti informací platná od roku 2009, dříve ČSN ISO/IEC TR : Informační technologie - Směrnice pro řízení bezpečnosti IT - Část 3: Techniky pro řízení íbezpečnosti č IT Normy 8

9 Analýza rizik Identifikuje zranitelná místa Definuje seznam působících hrozeb Stanovuje rizika příslušná ke každému zranitelnému místu a hrozbě Účelem je snížení rizik na přijatelnou úroveň formou opatření Identifikace a popis existujících nebo plánovaných bezpečnostních opatření! Odhad d rizik ik (vychází z tabulky identifikovaných hrozeb a souvisejících í zranitelností) Přijetí rizik (zbytková rizika) Politika bezpečnosti IS Příručka ISMS (Plán bezpečnosti IT) Analýza rizik 9

10 Odhad rizika Prvotní (orientační) odhad rizika bývá nastaven podle statistického výskytu incidentů v podobě tabulky. Tabulka definuje takzvané orientační riziko. Orientační riziko = pravděpodobnost incidentu x velikost dopadu Tabulka obsahuje: Incident Pravděpodobnost incidentu Velikost dopadu Orientační riziko Podle tohoto odhadu jsou nasazeny (nad základní přístup a opatření uvedená v příručce ISMS) konkrétní a specifická opatření (např. pro technologické místnosti, nadstandardní poskytované služby a podobně) dle činnosti organizace. Riziko naplnění hrozeb u konkrétního aktiva se stanovuje, jako číselné vyjádření toho, že nastane bezpečnostní incident vyvolaný některou (alespoň jednou) z nejpravděpodobnějších hrozeb působících na aktivum. Analýza rizik 10

11 Analýza rizik s různým počtem parametrů A. metoda se třemi parametry 1. vyhotovení matice zranitelnosti (hodnota aktiva A v závislosti na pravděpodobnosti hrozby T) 2. výpočet č míry rizika ik R podle vztahu R = T x A x V, kde V je zranitelnost t 3. vyhotovení matice rizik z vypočtených hodnot (hodnota aktiva A v závislosti na pravděpodobnosti hrozby T) 4. stanovení hranic pro různé stupně rizika (např. nízká neboli přijatelná, střední a vysoká) B. metoda se dvěma parametry 1. vyhodnocení pravděpodobnosti incidentu a jeho dopadu (pouze 2 parametry PI pravděpodobnost incidentu a D dopad) 2. výpočet míry rizika R podle vztahu R = PI x D Analýza rizik 11

ČESKÁ TECHNICKÁ NORMA

ČESKÁ TECHNICKÁ NORMA ČESKÁ TECHNICKÁ NORMA ICS 35.020; 35.040 2008 Systém managementu bezpečnosti informací - Směrnice pro management rizik bezpečnosti informací ČSN 36 9790 Červen idt BS 7799-3:2006 Information Security Management

Více

Management informační bezpečnosti

Management informační bezpečnosti Management informační bezpečnosti Definice V Brně dne 3. října 2013 Definice Common Criterta ITIL COBIT CRAMM Přiměřená ábezpečnostč Management informační bezpečnosti 2 Common Criteria Common Criteria

Více

aktivum (Asset) vše co má pro společnost nějakou hodnotu a mělo by být odpovídajícím způsobem chráněno,

aktivum (Asset) vše co má pro společnost nějakou hodnotu a mělo by být odpovídajícím způsobem chráněno, Analýza rizik Základní pojmy z oblasti analýzy rizik: aktivum (Asset) vše co má pro společnost nějakou hodnotu a mělo by být odpovídajícím způsobem chráněno, hrozba (Threat) jakákoliv událost, která může

Více

Efektivní řízení rizik ISMS. Luděk Novák, Petr Svojanovský ANECT a.s.

Efektivní řízení rizik ISMS. Luděk Novák, Petr Svojanovský ANECT a.s. Efektivní řízení rizik ISMS Luděk Novák, Petr Svojanovský ANECT a.s. Obsah Proč řízení rizik ICT? Základní prvky řízení rizik ICT Příklady ohodnocení Potřeby řízení rizik ICT Registr rizik ICT Závěr Motto:

Více

srpen 2008 Ing. Jan Káda

srpen 2008 Ing. Jan Káda nauka o srpen 2008 Ing. Jan Káda ČSN ISO/IEC 27001:2006 (1) aktivum cokoliv, co má pro organizaci hodnotu důvěrnost zajištění, že informace jsou přístupné pouze těm, kteří jsou k přístupu oprávněni integrita

Více

Informační bezpečnost. Dana Pochmanová, Boris Šimák

Informační bezpečnost. Dana Pochmanová, Boris Šimák Informační bezpečnost Dana Pochmanová, Boris Šimák 10.5. 2017 Agenda Bezpečnost informací IT rizika Klíčové role IT bezpečnosti v organizaci Bezpečný vývoj IS Normy a standardy v oblasti IT bezpečnosti

Více

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi 2011 6. října 2011 r

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi 2011 6. října 2011 r ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI Ing. Jiřina Petříková Informační technologie pro praxi 2011 6. října 2011 r Bezpečnost informací Zvyšuje se cena informací v oblasti soukromého podnikání i státní

Více

ČESKÁ TECHNICKÁ NORMA

ČESKÁ TECHNICKÁ NORMA ČESKÁ TECHNICKÁ NORMA ICS 35.040 Červenec 2009 Informační technologie Bezpečnostní techniky Řízení rizik bezpečnosti informací ČSN ISO/IEC 27005 36 9790 Information technology Security techniques Information

Více

ČSN ISO/IEC 27001 P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

ČSN ISO/IEC 27001 P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001 ČSN ISO/IEC 27001 Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky Představení normy ISO/IEC 27001 a norem souvisejících - Současný stav ISO/IEC 27001:2005

Více

OCTAVE ÚVOD DO METODIKY OCTAVE

OCTAVE ÚVOD DO METODIKY OCTAVE OCTAVE ÚVOD DO METODIKY OCTAVE Velká závislost organizací na informačních systémech s sebou přináší také nemalé požadavky na zabezpečení zpracovávaných a uložených informací. Důvěrnost, dostupnost a integrita

Více

BEZPEČNOST ICT. Marek Chlup

BEZPEČNOST ICT. Marek Chlup BEZPEČNOST ICT Marek Chlup Obsah Předmluva... 3 1. Zavedení systému řízení bezpečnosti ISMS... 4 2. Zavedení systému řízení bezpečnosti ISMS Model PDCA... 7 3. ISMS - ohodnocení aktiv...11 4. Analýza rizik...14

Více

Bezepečnost IS v organizaci

Bezepečnost IS v organizaci Bezepečnost IS v organizaci analýza rizik Zabezpečení informačního systému je nutné provést tímto postupem: Zjistit zranitelná místa, hlavně to, jak se dají využít a kdo toho může zneužít a pravděpodobnost

Více

Standardy a definice pojmů bezpečnosti informací

Standardy a definice pojmů bezpečnosti informací Standardy a definice pojmů bezpečnosti informací Robert Gogela, CISA, CISM Lidská společnost se snaží na vše vytvořit normy a potom trestat ty, kdo normy porušují. Nikdo již ale nekontroluje, zda nám normy

Více

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o. Business Continuity Management jako jeden z nástrojů zvládání rizik Ing. Martin Tobolka AEC, spol. s r.o. Co je BCM? Mezi časté příčiny přerušení kontinuity činností patří technická selhání (energie, HW,

Více

Informatika / bezpečnost

Informatika / bezpečnost Informatika / bezpečnost Bezpečnost, šifry, elektronický podpis ZS 2015 KIT.PEF.CZU Bezpečnost IS pojmy aktiva IS hardware software data citlivá data hlavně ta chceme chránit autorizace subjekt má právo

Více

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001 Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001 Hradec Králové duben 2009 2009-03 Informace versus Bezpečnost informací Informace (aktivum) - vše, co má hodnotu pro organizaci Bezpečnost

Více

Bezpečnostní politika společnosti synlab czech s.r.o.

Bezpečnostní politika společnosti synlab czech s.r.o. Bezpečnostní politika společnosti synlab czech s.r.o. Platnost dokumentu: 1. března 2016 Datum vypracování: 2. února 2016 Datum schválení: 29. února 2016 Vypracoval: Schválil: Bc. Adéla Wosková, Ing. Jaroslav

Více

Management rizik. Základní pojmy. Vzájemné vztahy při správě. Obecný postup analýzy rizik. Část identifikující rizika - analýza rizik

Management rizik. Základní pojmy. Vzájemné vztahy při správě. Obecný postup analýzy rizik. Část identifikující rizika - analýza rizik Management rizik Základní poj Aktivum Hrozba Zranitelnost Protiopatření Riziko zájemné vztahy při správě rizik Management rizik Část identifikující rizika - analýza rizik Část hledající odpovídající ochranná

Více

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu. Návrh zákona o kybernetické bezpečnosti Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.cz Předmět úpravy VKB Obsah a strukturu bezpečnostní dokumentace

Více

Technologie pro budování bezpe nosti IS technická opat ení. michal.slama@opava.cz

Technologie pro budování bezpe nosti IS technická opat ení. michal.slama@opava.cz Technologie pro budování bezpe nosti IS technická opat ení michal.slama@opava.cz Obsah Úvod bezpe nost IS Analýza dopad (BIA) Analýza rizik Bezpe nost Informa ních systém Ochrana informa ních aktiv v organizaci

Více

Projektové řízení a rizika v projektech

Projektové řízení a rizika v projektech Projektové řízení a rizika v projektech Zainteresované strany Zainteresované strany (tzv. stakeholders) jsou subjekty (organizace, lidé, prostory, jiné projekty), které realizace projektu ovlivňuje. Tyto

Více

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

BEZPEČNOSTNÍ POLITIKA INFORMACÍ BEZPEČNOSTNÍ POLITIKA INFORMACÍ společnosti ČEZ Energetické služby, s.r.o. Stránka 1 z 8 Obsah: 1. Úvodní ustanovení... 3 2. Cíle a zásady bezpečnosti informací... 3 3. Organizace bezpečnosti... 4 4. Klasifikace

Více

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha Standardy/praktiky pro řízení služeb informační bezpečnosti Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha Služby informační bezpečnosti Nemožnost oddělit informační bezpečnost od IT služeb

Více

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok Bezpečnost - úvod Zranitelné místo Slabinu IS využitelnou ke způsobení škod nebo ztrát útokem na IS nazýváme zranitelné místo. Existence zranitelných míst je důsledek chyb, selhání v analýze, v návrhu

Více

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1 POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Verze 2.1 Obsah 1. Úvod... 4 2. Vymezení pojmů... 5 3. Bezpečnostní opatření... 7 3.1. Organizační opatření... 7 3.1.1.

Více

Řízení informační bezpečnosti a veřejná správa

Řízení informační bezpečnosti a veřejná správa Řízení informační bezpečnosti a veřejná správa Kladno 1.prosince 2008 Doc.RNDr. Milan BERKA, CSc. Systém řízení informační bezpečnosti Různé certifikace bezpečnosti a jejich význam NBÚ, ISO, Objekty a

Více

Řízení rizik z pohledu bezpečnosti

Řízení rizik z pohledu bezpečnosti Řízení rizik z pohledu bezpečnosti Prof. Ing. Vladimír Smejkal, CSc. LL.M. člen Legislativní rady vlády ČR soudní znalec O čem budeme hovořit? Úvod Definice rizika Analýza rizik Řízení rizik Postup podle

Více

ISMS. Uživatel jako zdroj rizik. V Brně dne 5. a 12. prosince 2013

ISMS. Uživatel jako zdroj rizik. V Brně dne 5. a 12. prosince 2013 ISMS Případová studie Uživatel jako zdroj rizik V Brně dne 5. a 12. prosince 2013 Pojmy ICT (Information and Communication Technology) informační a komunikační technologie IS (Information System) informační

Více

Informa ní bezpe nost I Management bezpe nosti informa ních systém - ISMS. michal.slama@opava.cz

Informa ní bezpe nost I Management bezpe nosti informa ních systém - ISMS. michal.slama@opava.cz Informa ní bezpe nost I Management bezpe nosti informa ních systém - ISMS michal.slama@opava.cz Obsah Úvod bezpe nost IS Analýza rizik P ípadová studie Bezpe nost Informa ních systém Ochrana informa ních

Více

Datové schránky. únor Jana Kratinová SIKS a.s.

Datové schránky. únor Jana Kratinová SIKS a.s. Datové schránky únor 2009 Jana Kratinová SIKS a.s. Obsah Základní informace Datové schránky Informační systém datových schránek Informace o datových schránkách Základní informace Strategie rozvoje služeb

Více

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti ehealth Day 2016 16.2.2016 Ing. Stanislav Bíža, Senior IT Architekt, CISA stanislav.biza@cz.ibm.com 12016 IBM Corporation Požadavky

Více

Označení: Počet listů: 5 Verze: 1.0 SMĚRNICE ISMS. Název: Pravidla pro uživatele IT systémů. Vytvořil: Schválil: Účinnost od:

Označení: Počet listů: 5 Verze: 1.0 SMĚRNICE ISMS. Název: Pravidla pro uživatele IT systémů. Vytvořil: Schválil: Účinnost od: SMĚRNICE ISMS Označení: Počet listů: 5 Verze: 1.0 Název: Pravidla pro uživatele IT systémů Vytvořil: Schválil: Účinnost od: Obsah: 1. Účel 2. Rozsah platnosti 3. Použité zkratky a pojmy 3.1. Zkratky 4.

Více

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba KATALOG služeb Ing. Jiří Štěrba Obsah Úvod 3 Služby 4 Zaměření 5 Nabídka 7 Poptávka 8 Ke stažení 9 Reference 10 Informace 11 Kontakty 12 2 Úvod Dovolte, abychom Vám poskytli informace, které jsou věnovány

Více

Sem vložte zadání Vaší práce.

Sem vložte zadání Vaší práce. table 1 Sem vložte zadání Vaší práce. České vysoké učení technické v Praze Fakulta informačních technologií Katedra teoretické informatiky Bakalářská práce Metodika zavádění ISMS do malých a středních

Více

ČESKÁ TECHNICKÁ NORMA

ČESKÁ TECHNICKÁ NORMA ČESKÁ TECHNICKÁ NORMA ICS 35.040 Prosinec 2011 Informační technologie Bezpečnostní techniky Směrnice pro implementaci systému řízení bezpečnosti informací ČSN ISO/IEC 27003 36 9790 Information technology

Více

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti Ing. Daniel Kardoš, Ph.D 4.11.2014 ČSN ISO/IEC 27001:2006 ČSN ISO/IEC 27001:2014 Poznámka 0 Úvod 1 Předmět normy 2 Normativní odkazy 3 Termíny

Více

Řízení kybernetické a informační bezpečnosti

Řízení kybernetické a informační bezpečnosti Řízení kybernetické a informační bezpečnosti Martin Hanzal předseda sekce Kybernetická a informační bezpečnost AOBP CEVRO Institut, 22. dubna 2014 Sekce Kybernetická a informační bezpečnost Je nevládní,

Více

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI TÉMA Č. 4 ISO NORMY RODINY 27K pplk. Ing. Petr HRŮZA, Ph.D. Univerzita obrany, Fakulta ekonomiky a managementu Katedra vojenského managementu a taktiky E-mail.: petr.hruza@unob.cz

Více

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@email.cz, 603 248 295

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@email.cz, 603 248 295 Zákon o kybernetické bezpečnosti základní přehled Luděk Novák ludekn@email.cz, 603 248 295 Obsah Zákon č. 181/2014 Sb., o kybernetické bezpečnosti Vyhláška č. 316/2014 Sb., vyhláška o kybernetické bezpečnosti

Více

Normy ISO/IEC NISS. V Brně dne 7. listopadu 2013

Normy ISO/IEC NISS. V Brně dne 7. listopadu 2013 Normy ISO/IEC 27033 Bezpečnost síťové infrastruktury NISS V Brně dne 7. listopadu 2013 Soubor norem řady ISO/IEC 27033 ISO/IEC 27033 - Informační technologie Bezpečnostní techniky Síťová bezpečnost Jde

Více

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Bezpečnostní aspekty informačních a komunikačních systémů KS2 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní aspekty informačních a komunikačních systémů KS2 VŠFS; Aplikovaná informatika; SW systémy

Více

Příloha Vyhlášky č.9/2011

Příloha Vyhlášky č.9/2011 Tematické setkání AVZ - Květen 2011 Příloha Vyhlášky č.9/2011 SPECIFIKACE POŽADAVKŮ PRO PROKAZOVÁNÍ SHODY ELEKTRONICKÝCH NÁSTROJŮ (STANDARD) Představení Ing. Ondřej Antoš Odborný posuzovatel ČIA pro oblast

Více

ANALÝZA BEZPEČNOSTNÍCH RIZIK INFORMAČNÍCH SYSTÉMŮ

ANALÝZA BEZPEČNOSTNÍCH RIZIK INFORMAČNÍCH SYSTÉMŮ ANALÝZA BEZPEČNOSTNÍCH RIZIK INFORMAČNÍCH SYSTÉMŮ Security risk analysis of information systems Ing. Bc. Marek Čandík, PhD. Abstrakt Cílem článku bylo poskytnout pohled na problematiku analýzy rizik informačních

Více

PŘÍLOHA C Požadavky na Dokumentaci

PŘÍLOHA C Požadavky na Dokumentaci PŘÍLOHA C Požadavky na Dokumentaci Příloha C Požadavky na Dokumentaci Stránka 1 z 5 1. Obecné požadavky Dodavatel dokumentaci zpracuje a bude dokumentaci v celém rozsahu průběžně aktualizovat při každé

Více

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok ISO 9000, 20000, 27000 Informační management VIKMA07 Mgr. Jan Matula, PhD. jan.matula@fpf.slu.cz III. blok ITSM & Security management standard ISO 9000-1 ISO 9000:2015 Quality management systems Fundamentals

Více

Co je riziko? Řízení rizik v MHMP

Co je riziko? Řízení rizik v MHMP Co je riziko? Hrozba, že při zajišťování činností nastane určitá událost, jednání nebo stav s následnými nežádoucími dopady na plnění stanovených povinností, úkolů a schválených záměrů a cílů SPÚ. Je definováno

Více

Dnešní téma se vztahuje k problematice souboru postupů pro management bezpečnosti informací hodnocení rizik bezpečnosti informací.

Dnešní téma se vztahuje k problematice souboru postupů pro management bezpečnosti informací hodnocení rizik bezpečnosti informací. Dnešní téma se vztahuje k problematice souboru postupů pro management bezpečnosti informací hodnocení rizik bezpečnosti informací. 1 V rámci tohoto tématu se budeme zabývat následujícími oblastmi viz snímek.

Více

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB Návrh vyhlášky k zákonu o kybernetické bezpečnosti Přemysl Pazderka NCKB Východiska ISO/IEC 27001:2005 Systémy řízení bezpečnosti informací Požadavky ISO/IEC 27002:2005 Soubor postupů pro management bezpečnosti

Více

Aplikovaná informatika

Aplikovaná informatika 1 Aplikovaná informatika ZÁKLADY BEZPEČNOSTI IS ZEMÁNEK, Z. - PLUSKAL, D. Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/15.0070)

Více

1. Politika integrovaného systému řízení

1. Politika integrovaného systému řízení 1. Politika integrovaného systému řízení V rámci svého integrovaného systému řízení (IMS) deklaruje společnost AARON GROUP spol. s r.o. jednotný způsob vedení a řízení organizace, který splňuje požadavky

Více

Systém řízení informační bezpečnosti (ISMS)

Systém řízení informační bezpečnosti (ISMS) Systém řízení informační bezpečností (ISMS) RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost,

Více

Řízení rizik ICT účelně a prakticky?

Řízení rizik ICT účelně a prakticky? Řízení rizik ICT účelně a prakticky? Luděk Novák, Petr Svojanovský, ANECT a.s. ISSS 12. 13. dubna 2010, Hradec Králové OBSAH Proč řízení rizik ICT? Základní prvky řízení rizik ICT Příklady ohodnocení Potřeby

Více

Hodnocení povodňových rizik

Hodnocení povodňových rizik Hodnocení povodňových rizik Karel Drbal Výzkumný ústav vodohospodářský T. G. Masaryka, v.v.i. Podbabská 30/ 2582, 160 00 Praha 6 +420 220 197 111 info@vuv.cz, www.vuv.cz, Pobočka Brno Mojmírovo náměstí

Více

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu 22 let zkušeností komplexní řešení & dlouhodobý provoz nepřetržité dohledové centrum procesy, role & kompetence zkušení, certifikovaní odborníci

Více

Procesy a management rizik ve zdravotnické laboratoři. Roubalová Lucie

Procesy a management rizik ve zdravotnické laboratoři. Roubalová Lucie Procesy a management rizik ve zdravotnické laboratoři Roubalová Lucie Procesy v laboratoři Proces soubor vzájemně souvisejících nebo vzájemně působících činností, které přeměňují vstupy na výstupy Hlavní

Více

ČESKÁ TECHNICKÁ NORMA

ČESKÁ TECHNICKÁ NORMA ČESKÁ TECHNICKÁ NORMA ICS 01.040.35; 35.040 Říjen 2014 Informační technologie Bezpečnostní techniky Systémy řízení bezpečnosti informací Přehled a slovník ČSN ISO/IEC 27000 36 9790 Information technology

Více

Bezpečnost na internetu. přednáška

Bezpečnost na internetu. přednáška Bezpečnost na internetu přednáška Autorské právo a bezpečnost na internetu Bezpečnost informačního systému školy Ing. Ludmila Kunderová Ústav informatiky PEF MENDELU v Brně lidak@pef.mendelu.cz internetu

Více

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc. Fyzická bezpečnost, organizační opatření RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost,

Více

Bezpečnost IS. Základní bezpečnostní cíle

Bezpečnost IS. Základní bezpečnostní cíle Bezpečnost IS Informační bezpečnost ochrana informace a uchování bezpečnostních atributů informace Důvěrnost, Integrita, Dostupnost, Autentičnost, Spolehlivost? Informace představují majetek s určitou

Více

Překlad a interpretace pro české prostředí

Překlad a interpretace pro české prostředí Information Security Management Information Risk Management Business Continuity Management Information Forensic Analysis RISK ANALYSIS CONSULTANTS BS ISO/IEC 27001:2005 Information Security Management

Více

Inovace bakalářského studijního oboru Aplikovaná chemie

Inovace bakalářského studijního oboru Aplikovaná chemie http://aplchem.upol.cz CZ.1.07/2.2.00/15.0247 Tento projekt je spolufinancován Evropským sociálním fondem a státním rozpočtem České republiky. 5. přednáška Analýzy rizik Doc. RNDr. Jiří Šimek, CSc. Analýza

Více

REGISTR RIZIK REGISTR RIZIK - STAVBA BOURACÍ PRÁCE. společnost: Zpracoval: Podpis: Datum: Schválil: Podpis: Datum:

REGISTR RIZIK REGISTR RIZIK - STAVBA BOURACÍ PRÁCE. společnost: Zpracoval: Podpis: Datum: Schválil: Podpis: Datum: REGISTR RIZIK - hodnocení rizik možného ohrožení bezpečnosti a zdraví zaměstnanců včetně identifikace nebezpečí, hodnocení a řízení rizik pro: STAVBA BOURACÍ PRÁCE společnost: Hřbitovní 15, 312 00 Plzeň

Více

Nástroje IT manažera

Nástroje IT manažera Obsah Nástroje IT manažera Školení uživatelů Ochrana osobních údajů Bezpečnostní politika Software a právo Legální software Management jakosti Výběr a řízení dodavatelů Pracovněprávní minimum manažerů

Více

Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts jiri.sedlacek@nsmcluster.

Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts jiri.sedlacek@nsmcluster. Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti Ing. Jiří Sedláček Chief of Security Experts jiri.sedlacek@nsmcluster.com Kdo jsme Kooperační odvětvové uskupení 19 firem se specializací

Více

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004 CobiT Control Objectives for Information and related Technology Teplá u Mariánských Lázní, 6. října 2004 Agenda Základy CobiT Pojem CobiT Domény CobiT Hodnocení a metriky dle CobiT IT Governance Řízení

Více

Systém řízení bezpečnosti informací v praxi

Systém řízení bezpečnosti informací v praxi Systém řízení bezpečnosti informací v praxi Mgr. Pavel tros, Ph.D. Practice Leader pro Bezpečnost&Monitoring stros@datasys.cz Systém řízení bezpečnosti informací (ISMS) Kybernetická bezpečnost je rozsáhlá

Více

Regulace a normy v IT IT Governance Sociotechnický útok. michal.sláma@opava.cz

Regulace a normy v IT IT Governance Sociotechnický útok. michal.sláma@opava.cz Regulace a normy v IT IT Governance Sociotechnický útok michal.sláma@opava.cz Regulace a normy v IT Mezinárodní regulace Národní legislativa Mezinárodní normy Národní normy Oborové standardy Best practices

Více

Organizační směrnice Q 7 Zálohování a archivace e-dat

Organizační směrnice Q 7 Zálohování a archivace e-dat O B S A H 1. Úvod 1.1 Účel 1.2 Rozsah použití 1.3 Pojmy a zkratky 2. Popis činností při zálohování a archivaci 2.1 Algoritmus pro zálohování 2.2 Komentář k popisu činností 2.3 Kontrola možnosti obnovení

Více

Analýza rizik a pokročilý monitoring bezpečnosti sítí v prostředí kybernetických hrozeb Dr. Igor Čermák

Analýza rizik a pokročilý monitoring bezpečnosti sítí v prostředí kybernetických hrozeb Dr. Igor Čermák Analýza rizik a pokročilý monitoring bezpečnosti sítí v prostředí kybernetických hrozeb Dr. Igor Čermák Analýza rizik a pokročilý monitoring bezpečnosti sítí v prostředí kybernetických hrozeb Igor Čermák

Více

o Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná

o Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná o Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná vazba o Příklad o Zákon č. 181/2014 Sb., o kybernetické

Více

NASAZENÍ KONTEXTOVÉHO DLP SYSTÉMU V RÁMCI ZAVÁDĚNÍ ISMS

NASAZENÍ KONTEXTOVÉHO DLP SYSTÉMU V RÁMCI ZAVÁDĚNÍ ISMS VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ BRNO UNIVERSITY OF TECHNOLOGY FAKULTA PODNIKATELSKÁ ÚSTAV INFORMATIKY FACULTY OF BUSINESS AND MANAGEMENT INSTITUTE OF INFORMATICS NASAZENÍ KONTEXTOVÉHO DLP SYSTÉMU V RÁMCI

Více

Procesy a management rizik ve zdravotnické laboratoři. Ing. Alena Fischerová Systémy jakosti s.r.o

Procesy a management rizik ve zdravotnické laboratoři. Ing. Alena Fischerová Systémy jakosti s.r.o Procesy a management rizik ve zdravotnické laboratoři Ing. Alena Fischerová Systémy jakosti s.r.o Co je proces soubor vzájemně souvisejících nebo vzájemně působících činností, které přeměňují vstupy na

Více

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005 Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005 Praha květen 2008 2008-03 - Bezpečnost informací jsou aktiva, která mají pro organizaci hodnotu. mohou existovat v různých podobách

Více

Manuál k programu RIZIKA

Manuál k programu RIZIKA Manuál k programu RIZIKA nástroj k efektivnímu vyhledávání a řízení pracovních rizik Program RIZIKA Program RIZIKA jsou víceuživatelskou aplikací s možností nastavení uživatelských práv pro jednotlivé

Více

Státní pokladna. Centrum sdílených služeb

Státní pokladna. Centrum sdílených služeb Státní pokladna Centrum sdílených služeb Státní pokladna Centrum sdílených služeb Organizační dopady při řešení kybernetické bezpečnosti Ing. Zdeněk Seeman, CISA, CISM Obsah prezentace Podrobnější pohled

Více

Bezpečnostní politika společnosti synlab czech s.r.o.

Bezpečnostní politika společnosti synlab czech s.r.o. Bezpečnostní politika společnosti synlab czech s.r.o. Platnost dokumentu: 14. ledna 2015 Datum vypracování: 8. ledna 2015 Datum schválení: 13. ledna 2015 Vypracoval: Schválil: Bc. Adéla Wosková, Ing. Jaroslav

Více

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ ZAVEDENÍ ISMS V MALÉM PODNIKU DIPLOMOVÁ PRÁCE FAKULTA PODNIKATELSKÁ ÚSTAV INFORMATIKY BRNO UNIVERSITY OF TECHNOLOGY

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ ZAVEDENÍ ISMS V MALÉM PODNIKU DIPLOMOVÁ PRÁCE FAKULTA PODNIKATELSKÁ ÚSTAV INFORMATIKY BRNO UNIVERSITY OF TECHNOLOGY VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ BRNO UNIVERSITY OF TECHNOLOGY FAKULTA PODNIKATELSKÁ ÚSTAV INFORMATIKY FACULTY OF BUSINESS AND MANAGEMENT INSTITUTE OF INFORMATICS ZAVEDENÍ ISMS V MALÉM PODNIKU THE IMPLEMENTATION

Více

Zásady managementu incidentů

Zásady managementu incidentů Obsah prezentace Zásady managementu incidentů Úvod, základní pojmy ISO/IEC TR 18044 ISO/IEC TR 18044 ISO/IEC TR 18044 Information technology Security techniques Information security incident management

Více

RiJ ŘÍZENÍ JAKOSTI L 4 4-1

RiJ ŘÍZENÍ JAKOSTI L 4 4-1 RiJ ŘÍZENÍ JAKOSTI ML 4-1 CÍL TÉMATICKÉHO CELKU Název tematického celku: Nástroje pro měření, analýzu a zlepšování systému jakosti v podniku Hlavním cílem tematického celku je nastínit význam interních

Více

Systém managementu bezpečnosti informací podle ISO/IEC jako prevence Zákona o kybernetické bezpečnosti

Systém managementu bezpečnosti informací podle ISO/IEC jako prevence Zákona o kybernetické bezpečnosti Systém managementu bezpečnosti informací podle ISO/IEC 27001 jako prevence Zákona o kybernetické bezpečnosti Aleš Podrazil Sales Team Leader CER Přerov 15.9.2014 PŘEDSTAVENÍ BUREAU VERITAS Společnost založena

Více

Zákon o kybernetické bezpečnosti

Zákon o kybernetické bezpečnosti Zákon o kybernetické bezpečnosti Ing. Ondřej Ševeček GOPAS a.s. MCSM:Directory2012 MCM:Directory2008 MVP:Enterprise Security CEH: Certified Ethical Hacker CHFI: Computer Hacking Forensic Investigator CISA

Více

Policejní akademie České republiky v Praze BEZPEČNOST INFORMACÍ

Policejní akademie České republiky v Praze BEZPEČNOST INFORMACÍ Policejní akademie České republiky v Praze Fakulta bezpečnostního managementu PRŮVODCE KOMBINOVANÝM STUDIEM Metodická studijní opora BEZPEČNOST INFORMACÍ Bakalářský studijní program Veřejná správa, studijní

Více

Úvod - Podniková informační bezpečnost PS1-2

Úvod - Podniková informační bezpečnost PS1-2 VŠFS; Aplikovaná informatika - 2006/2007 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Úvod - Podniková informační bezpečnost PS1-2 VŠFS; Aplikovaná informatika - 2006/2007 2 Literatura Kovacich G.L.:

Více

Současné problémy bezpečnosti ve firmách

Současné problémy bezpečnosti ve firmách Současné problémy bezpečnosti ve firmách Lukáš Mikeska Ernst & Young 17. února 2010 O čem budeme mluvit Představení průzkumů v oblasti řízení informační bezpečnosti Průzkum stavu informační bezpečnosti

Více

AEC, spol. s r. o. Jak bezpečnost IT nastavit v souladu s business požadavky společnosti. Tomáš Strýček Internet & Komunikace Modrá 4.6.

AEC, spol. s r. o. Jak bezpečnost IT nastavit v souladu s business požadavky společnosti. Tomáš Strýček Internet & Komunikace Modrá 4.6. AEC, spol. s r. o. Jak bezpečnost IT nastavit v souladu s business požadavky společnosti Tomáš Strýček Internet & Komunikace Modrá 4.6.2015 AEC Services Situace IT Security v menší firmě a) Bezpečnost

Více

Řízení rizik a udržování Registru činností

Řízení rizik a udržování Registru činností MERO ČR, a. s. Veltruská 748, Kralupy nad Vltavou SJ-GŘ-14 A Řízení rizik a udržování Registru činností 11. Ing. Jiří Honzů v. r. 15. května 2015 Hana Fuxová, MBA v. r. Ing. Stanislav Bruna v. r. - Doplnění

Více

Komunikační strategie a plán rozvoje portálu portal.gov.cz

Komunikační strategie a plán rozvoje portálu portal.gov.cz Příloha č. 2 Výzvy - Detailní popis předmětu VZ Komunikační strategie a plán rozvoje portálu portal.gov.cz V rámci dodávky vznikne dokument s analýzou současného stavu Portálu veřejné správy (PVS), určením

Více

Fyzická bezpečnost. Bezpečnost informací v ČR. Ing. Oldřich Luňáček, Ph.D. oldrich.lunacek@unob.cz

Fyzická bezpečnost. Bezpečnost informací v ČR. Ing. Oldřich Luňáček, Ph.D. oldrich.lunacek@unob.cz Fyzická bezpečnost Bezpečnost informací v ČR Ing. Oldřich Luňáček, Ph.D. oldrich.lunacek@unob.cz Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg.

Více

Kybernetická bezpečnost Zákonná povinnost nebo existenční nutnost?

Kybernetická bezpečnost Zákonná povinnost nebo existenční nutnost? Kybernetická bezpečnost Zákonná povinnost nebo existenční nutnost? Ing. Jan Dienstbier 22. 3. 2016 Proč kybernetická bezpečnost? zajištění bezpečnosti informací v informačních systémech a dostupnosti a

Více

V Brně dne 10. a 17.10.2013

V Brně dne 10. a 17.10.2013 Analýza rizik - příklady V Brně dne 10. a 17.10.2013 Identifikace a hodnocení aktiv Aktivum (A) zdroj hodnota Data IS 5 SQL 5 HW sever 4 PC 2 SW OS 3 SQL 3 Služby svr komunikace 5 vzdálený přístup (sklad)

Více

Od teorie k praxi víceúrovňové bezpečnosti

Od teorie k praxi víceúrovňové bezpečnosti POLICEJNÍ AKADEMIE ČESKÉ REPUBLIKY FAKULTA BEZPEČNOSTNÍHO MANAGEMENTU Od teorie k praxi víceúrovňové bezpečnosti Ing. Milan KNÝ, CSc. katedra managementu a informatiky Doc. RNDr. Josef POŽÁR, CSc. děkan

Více

ČESKÁ TECHNICKÁ NORMA

ČESKÁ TECHNICKÁ NORMA ČESKÁ TECHNICKÁ NORMA ICS 35.040 Září 2014 Informační technologie Bezpečnostní techniky Soubor postupů pro opatření bezpečnosti informací ČSN ISO/IEC 27002 36 9798 Information Technology Security techniques

Více

Propojování metod kvality

Propojování metod kvality Propojování metod kvality ve Zdravém městě Kopřivnice Management kvality CAF MA 21 Řízení rizik CAF (Common Assessment Framework) Společný hodnotící rámec CAF je efektivní nástroj k iniciování neustálého

Více

Povodňová ochrana v evropském kontextu, plnění požadavků směrnice EU o vyhodnocení a zvládání povodňových rizik v ČR

Povodňová ochrana v evropském kontextu, plnění požadavků směrnice EU o vyhodnocení a zvládání povodňových rizik v ČR Povodňová ochrana v evropském kontextu, plnění požadavků směrnice EU o vyhodnocení a zvládání povodňových rizik v ČR Karel Drbal Výzkumný ústav vodohospodářský T. G. Masaryka, v.v.i. Podbabská 30/ 2582,

Více

Řízení rizik ÚLD FNKV. Škrla, Škrlová, Řízení rizik ve zdravotnických zařízeních, 2008

Řízení rizik ÚLD FNKV. Škrla, Škrlová, Řízení rizik ve zdravotnických zařízeních, 2008 Iveta Brabcová Předpokladem řízení rizik je otevřené a důvěrné pracovní prostředí s kulturou zaměřující se na poznatky získané z téměř pochybení a mimořadných událostí, místo soustředění se na obviňování

Více

1. KYBERNETICKÁ BEZPEČNOST

1. KYBERNETICKÁ BEZPEČNOST 1. KYBERNETICKÁ BEZPEČNOST KYBERSPACE SECURITY Jan Čapek 1.1. ÚVOD Rozvojem informačních technologií, jimiž chápeme nástroje, prostředky a techniky, které si člověk vyvinul v oblasti výpočetní techniky,

Více

Protokol o posouzení a hodnocení nabídek

Protokol o posouzení a hodnocení nabídek Příloha č. 5 Protokol o posouzení a hodnocení nabídek 1. Veřejné zakázky Název zakázky: Nákup hardwarového a softwarového vybavení Registrační číslo projektu: CZ.1.07/1.5.00/34.0722 Název projektu: Vlastními

Více

MANAGEMENT Přístupy k řízení organizace

MANAGEMENT Přístupy k řízení organizace MANAGEMENT Přístupy k řízení organizace doc. Ing. Monika MOTYČKOVÁ (Grasseová), Ph.D. Univerzita obrany Fakulta ekonomika a managementu Katedra vojenského managementu a taktiky Kounicova 44/1. patro/kancelář

Více

Management. Ing. Jan Pivoňka

Management. Ing. Jan Pivoňka Management Ing. Jan Pivoňka Stanovení osobní vize V souladu s kotvou Konkrétní představa Citový náboj Stimul pro aktivní jednání Krátkodobější cíle motivace Výjimky Jasná vize Pohodoví lidé Úspěch bez

Více

Zpracování a udržování Registru právních a jiných požadavků

Zpracování a udržování Registru právních a jiných požadavků MERO ČR, a.s. Veltruská 748, Kralupy nad Vltavou SJ-GŘ-15 A Zpracování a udržování Registru právních a jiných požadavků 13. Ing. Blanka Kožená v. r. 27. května 2016 Hana Fuxová, MBA v. r. Ing. Stanislav

Více