Řízení rizik. RNDr. Igor Čermák, CSc.
|
|
- Zdeněk Valenta
- před 5 lety
- Počet zobrazení:
Transkript
1 Řízení rizik RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost, MI-IBE, zimní semestr 2011/2012, Přednáška 6 MI-POA Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti Informační bezpečnost (MI-IBE) 6.přednáška Analýza a správa rizik, řízení rizik 1
2 Nové standardy v oblasti informační bezpečnosti ISO/IEC 2700x 27000:2009 slovník a terminologie ISMS 27003:20010 návod k implementaci norem ISMS 27004:2009 měření účinnosti ISMS 27005:2011 metoda řízení rizik (27005:2005 již zrušeno) 27006:2007 doporučení a požadavky na certifikaci ISMS pro akreditované certifikační autority (organizace); 27007:? doporučení k provádění auditů podle ISMS (v přípravě 2011?) 27008:2011 doporučení pro auditory pro auditování nastavených opatření informační bezpečnosti 27009:? - přečíslováno Informační bezpečnost - přínosy Přínosy systému informační bezpečnosti minimalizace rizik prokazatelně existujících hrozeb (počítačové viry, neoprávněná manipulace s daty, ztráta nebo vyzrazení citlivých dat, průniky z internetu apod.) jasné postupy řešení neočekávaných situací (minimalizují potenciální ztráty - důsledky případných výpadků a havárií) vymezení povinností a zodpovědnosti zaměstnanců (snižuje riziko bezpečnostních incidentů, zajišťuje nepopiratelnost) naplnění legislativních požadavků 2
3 Možná cesta: Zavádění ISMS metodologie COBIT v oblasti řízení IT a definování zodpovědností, Procesní charakter řešení bezpečnosti, Naplnění legislativních požadavků (ochrana osobních dat, oborová legislativa) Bezpečnost nelze posuzovat pouze v kontextu návratnosti investic, ale zejména v kontextu zvládání rizik. ISMS ISMS je systém managementu bezpečnosti informací Je součástí globálního systému řízení organizace Je založen na přístupu vyhodnocování rizik Zahrnuje komplexní mechanismus průběžné analýzy, implementace, kontroly, údržby a zlepšování systému informační bezpečnosti Zajištění systematické prevence vzniku incidentů Spolehlivé vnitřní kontrolní mechanizmy Stanovení vymahatelných pravidel a povinností pro všechny zainteresované strany 3
4 Zavádění ISMS Proces správy a řízení rizik je základem ISMS Bezpečnost informací není boj proti hackerům a spamu Výběr vhodné metodologie a nástroje analýzy rizik (CRAMM, Octave, FRAAP, RA Tool,.) Využití standardů při zavádění ISMS norma doporučuje zřízení kontinuálního a systematického procesu řízení bezpečnosti ISMS není třeba nasazovat plošně (častá chyba) Bezpečnostní standardy (normy) Významná podpora pro zavádění informační bezpečnosti (metodický nástroj) Důležitý prvek informační bezpečnosti sjednocující formy bezpečnostních opatření a přístupy k informační bezpečnosti Využití best practices ( nejlepších zkušeností ) pomáhá při řešení bezpečnostních otázek Konfrontace s realitou v organizaci - přizpůsobení 4
5 Řízení rizik bezpečnosti informací ISO/IEC 27005: Information Security Risk Management; Vyšla z ISO/IEC TR A především z BS Opírá se o soulad s ISO/IEC Harmonizace s obecnými principy řízení rizik (ISO/IEC Řízení rizik) Cyklus PDCA P Plánuj Ustavení ISMS Zúčastněné strany D Bezpečnost informací, požadavky a očekávání Dělej Zavádění a provozování ISMS C Cyklus vývoje, údržby a kontinuálního zlepšování ISMS Kontroluj Monitorování a přezkoumání ISMS A Jednej Udržování a zlepšování ISMS Řízená bezpečnost informací Zúčastněné strany Zdroj DCIT a.s. 5
6 Vybudování a provoz ISMS Analytické a formalizační činnosti Strategická bezpečnostní politika Strategie BCM P Plánuj Ustavení ISMS Identifikace aktiv (AR) Identifikace čiností, komponent Analýza dopadů (BIA) Srovnávací analýza (GAP) D Dělej Zavádění a provozování ISMS Cyklus vývoje, údržby a kontinuálního zlepšování ISMS C Kontroluj Monitorování a přezkoumání ISMS A Jednej Udržování a zlepšování ISMS Řízení rizik (RM) Bezpečnostní dokumentace (BD) Řízení kontinuity (BCM) Zdroj DCIT a.s. Cyklus PDCA P, Plan, Plánuj Ustavení ISMS v souladu s ISO Staqnovení rozsahu a hranic rozsahu ISMS Hlavní činnosti, organizační struktura, lokality, aktiva, Určení politiky ISMS (bezpečnostní politika, BP) (AR) Systematický přístup, metodika AR a řízení rizik Výběr opatření vázán na nalezená rizika (viz. SoA) Identifikace, ohodnocování a plán zvládání rizik Prohlášení o aplikovatelnosti (SoA) cíle, odůvodněný výběr opatření souhlas vedení se zbytkovými riziky 6
7 Identifikace aktiv Zmapování aktiv a vytvoření modelu: Informační aktiva (IA) Aplikační aktiva (AA) Fyzická aktiva (FA) Globální aktiva (GA) Ocenění a klasifikace aktiv Analýza hrozeb a zranitelností Kategorizace hrozeb, stanovení míry rizika Zdroj DCIT a.s. Návrh protiopatření eliminace identifikovaných rizik výběr opatření z katalogu opatření normy ISO/IEC vazba opatření na identifikovaná rizika Priority řešení (plán zvládání rizik) odhad náročnosti časové, finanční, personální, rozdělení opatření do skupin opatření (quick-win, need-tohave, nice-to have) GAP analýza rozdílová analýza míry shody s normou 7
8 Aktiva Předmět managementu rizik Nezbytná evidence všech důležitých aktiv Fyzická aktiva (HW, komunikační prostředky, budovy) Informace/data (dokumenty, databáze) SW Schopnost vytvářet určité produkty nebo poskytovat určité služby (know-how) Lidé Nehmotné hodnoty (image firmy) Hrozby Potenciální příčina incidentu, která může mít za následek poškození aktiv Pro způsobení škody využívá existující zranitelnosti aktiv Hrozby: Přírodní původ Lidský původ Hrozby: Náhodné Úmyslné Příklady: (odposlech, hacking, chybný příkaz, zemětřesení,..) 8
9 Zranitelnost Slabá stránka aktiva nebo skupiny aktiv, která může být využita jednou nebo více hrozbami (ke způsobení škody nebo ztráty) Zranitelnost sama o sobě není příčinou škody, je podmínkou, která umožní hrozbě, aby ovlivnila aktiva Nezbytnost monitoringu existujících zranitelností, identifikace zranitelností Proces postupného odhalování zranitelností a úpravy aktiv (příklad SW patche) Zranitelnost Pozor: proměna hrozeb nové zranitelnosti, Opakované analýzy zranitelností prozkoumání slabých míst (weak points), která mohou být využita identifikovanými hrozbami, Zranitelnost aktiva vztahujeme vůči konkrétní hrozbě; Úroveň hrozby versus pravděpodobnost hrozby 9
10 Dopad Důsledek nežádoucího incidentu, který má vliv na aktiva Může být způsoben úmyslně nebo neúmyslně Různé podoby následku narušení bezpečnosti informací Měření dopadů (pro nalezení rovnováhy mezi dopady (výsledky nežádoucích incidentů) a náklady na ochranná opatření, která eliminují nebo snižují pravděpodobnost takového incidentu. Pro výběr opatření je důležitá výše škody způsobené takovým nežádoucím incidentem a pravděpodobnost výskytu (frekvence opakování) Riziko Potenciální možnost, že daná hrozba využije existující zranitelnost, Vede k poškození aktiva Jedna hrozba může využít více zranitelností nebo jedna zranitelnost může být využita více hrozbami Riziko je charakterizováno jako kombinace dvou faktorů, pravděpodobnosti výskytu nežádoucího incidentů a jeho dopadu. Každá změna aktiva, hrozeb, zranitelností nebo ochranných opatření může výrazně ovlivnit míru rizika Realizace vhodných opatření = snížení rizika 10
11 Management rizik Zdroj norma TR Systematické používání informací k identifikování zdrojů a odhadu rizika Základ pro hodnocení rizika (celkový proces analýzy a vyhodnocení rizik), pro ošetření rizika a pro přijetí rizika (akceptace rizika) identifikuje rizika, které je nutné kontrolovat nebo akceptovat Zahrnuje analýzu hodnoty aktiv, hrozeb a zranitelností Rizika mohou být odhadnuta z hlediska možného dopadu vzniklého porušením bezpečnosti (C.I.A.) 11
12 Důležitost výběru vhodné metody analýzy rizik: Kvantitativní Kvalitativní Kvalitativní pomocí škály hodnot nebo slovního popisu; míra je určována kvalifikovaným odhadem Kvantitativní založené na matematickém výpočtu rizika z frekvence hrozby a jeho dopadu (například rozsah finančních ztrát za určité období) Výsledek analýzy rizik: určení působících hrozeb, rizik těchto hrozeb a míry dopadu (rozsah potenciálních škod) Při implementaci ISMS je normou předepsáno: Stanovení systematického přístupu k hodnocení rizik (risk assesment): vhodná metodologie hodnocení rizik, určení požadavků na bezpečnost informací, zákonné a další regulatorní požadavky (metodologie musí zajistit reprodukovatelnost a porovnatelnost hodnocení) Vybrat kritéria pro akceptaci rizika a identifikovat přijatelnou úroveň rizika Identifikovat rizika: Identifikovat aktiva v rámci rozsahu ISMS a jejich vlastníky Identifikovat hrozby pro tato aktiva Identifikovat zranitelnosti, které by mohly být hrozbami využity Identifikovat, jako dopady na aktiva by mohla mít ztráta důvěry, integrity, dostupnosti eventuálně dalších bezpečnostních požadavků 12
13 Při implementaci ISMS je normou předepsáno: Analyzovat a ohodnotit rizika Ohodnotit dopady na činnost organizace (odhad/výpočet dopadů ztráty důvěrnosti, integrity nebo dostupnosti aktiv) Ohodnotit reálnou pravděpodobnost takového selhání způsobeného kombinací hrozby a zranitelnosti a jeho dopadu při konkrétních aktuálně zavedených kontrolách (opatřeních) Odhadnout/kalkulovat úrovně rizik Hodnocení rizik oproti předdefinované škále rizik Určit, zda je riziko akceptovatelné nebo vyžaduje zvládání rizika (risk treatment) Při implementaci ISMS je normou předepsáno: Identifikovat a ohodnotit varianty pro zvládání rizika Aplikování vhodných opatření Vědomé a objektivní přijmutí rizik za předpokladu, že splňují kritéria pro akceptaci (risk acceptance rozhodnutí o přijetí rizika) Vyhnutí se rizikům (risk avoidance) rozhodnutí neúčastnit se rizikové situace nebo rozhodnutí směřující k opuštění rizikové situace Přenesení rizik na třetí strany (risk transfer - sdílení ztráty s jinou stranou) například pojišťovna, smluvní partner, zákazník, dodavatel, stát, zaměstnanci, zaměstnavatel 13
14 Při implementaci ISMS je normou předepsáno: Vybrat cíle řízení a jednotlivá opatření pro zvládání rizik Pro splnění požadavků identifikovaných v průběhu hodnocení rizik a procesu zvládání rizik, zohlednění kritérií pro akceptování, zákonných, smluvních a dalších požadavků Výběr cílů řízení a opatření uvedených v příloze A normy ISO/IEC Souhlas vedení s navrženými zbytkovými riziky(residul risk) Implementací navržených opatření z plánů zvládání rizika dochází ke snížení rizika (risk reduction) snížením pravděpodobnosti nebo dopadu nežádoucích událostí Řízení rizik Vstupy: Registr aktiv Registr zranitelností Registr hrozeb Výstupy: Registr rizik Karty rizika 14
15 Řízení rizik Neidentifikovaná rizika Komunikace rizika (risk comunication) Nástroje řízení rizik (risk control) - aktivity, kterými se implementují rozhodnutí při řízení rizik Kritéria rizika (risk criteria) podmínky nebo kompetence, podle kterých je významnost rizika posuzována) Management rizik (risk management) koordinovaná činnost k řízení a kontrole organizace s ohledem na rizika Přezkoumání rizik a nové posouzení (v rámci ISMS) cyklus PDCA Role Manažer bezpečnostních rizik Risk Manager Formalizované SW nástroje pro podporu procesu řízení rizik Kontinuální činnost 15
16 Otázky? Děkuji za pozornost RNDr. Igor Čermák, CSc. 16
Systém řízení informační bezpečnosti (ISMS)
Systém řízení informační bezpečností (ISMS) RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost,
VíceNormy a standardy ISMS, legislativa v ČR
Normy a standardy ISMS, legislativa v ČR RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost,
VíceV Brně dne 10. a
Analýza rizik V Brně dne 10. a 17.10.2013 Ohodnocení aktiv 1. identifikace aktiv včetně jeho vlastníka 2. nástroje k ohodnocení aktiv SW prostředky k hodnocení aktiv (např. CRAMM metodika CCTA Risk Analysis
VíceČESKÁ TECHNICKÁ NORMA
ČESKÁ TECHNICKÁ NORMA ICS 35.020; 35.040 2008 Systém managementu bezpečnosti informací - Směrnice pro management rizik bezpečnosti informací ČSN 36 9790 Červen idt BS 7799-3:2006 Information Security Management
VíceČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti
ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti Ing. Daniel Kardoš, Ph.D 4.11.2014 ČSN ISO/IEC 27001:2006 ČSN ISO/IEC 27001:2014 Poznámka 0 Úvod 1 Předmět normy 2 Normativní odkazy 3 Termíny
VíceImplementace systému ISMS
Implementace systému ISMS Krok 1 Stanovení rozsahu a hranic ISMS Rozsah ISMS Krok 2 Definice politiky ISMS Politika ISMS Krok 3 Definice přístupu k hodnocení rizik Dokumentovaný přístup k hodnocení rizik
VíceISMS. Bezpečnostní projekt. V Brně dne 10. října 2013
ISMS Zavádění a provozování ISMS Bezpečnostní projekt V Brně dne 10. října 2013 Co je to bezpečnost informací Systematické ti úsilí (proces), jehož účelem je trvalé zlepšování ochrany cenných informací
VíceŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi 2011 6. října 2011 r
ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI Ing. Jiřina Petříková Informační technologie pro praxi 2011 6. října 2011 r Bezpečnost informací Zvyšuje se cena informací v oblasti soukromého podnikání i státní
VíceCertifikace systému managementu bezpečnosti informací dle ISO/IEC 27001
Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001 Hradec Králové duben 2009 2009-03 Informace versus Bezpečnost informací Informace (aktivum) - vše, co má hodnotu pro organizaci Bezpečnost
VíceV Brně dne a
Aktiva v ISMS V Brně dne 26.09. a 3.10.2013 Pojmy ISMS - (Information Security Managemet System) - systém řízení bezpečnosti č informací Aktivum - (Asset) - cokoli v organizaci, co má nějakou cenu (hmotná
VíceČSN ISO/IEC 27001 P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001
ČSN ISO/IEC 27001 Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky Představení normy ISO/IEC 27001 a norem souvisejících - Současný stav ISO/IEC 27001:2005
VíceMANAGEMENT KYBERNETICKÉ BEZPEČNOSTI
MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI TÉMA Č. 4 ISO NORMY RODINY 27K pplk. Ing. Petr HRŮZA, Ph.D. Univerzita obrany, Fakulta ekonomiky a managementu Katedra vojenského managementu a taktiky E-mail.: petr.hruza@unob.cz
VíceInovace bakalářského studijního oboru Aplikovaná chemie
http://aplchem.upol.cz CZ.1.07/2.2.00/15.0247 Tento projekt je spolufinancován Evropským sociálním fondem a státním rozpočtem České republiky. 5. přednáška Analýzy rizik Doc. RNDr. Jiří Šimek, CSc. Analýza
VíceFyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.
Fyzická bezpečnost, organizační opatření RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost,
VíceSystém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005
Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005 Praha květen 2008 2008-03 - Bezpečnost informací jsou aktiva, která mají pro organizaci hodnotu. mohou existovat v různých podobách
Vícesrpen 2008 Ing. Jan Káda
nauka o srpen 2008 Ing. Jan Káda ČSN ISO/IEC 27001:2006 (1) aktivum cokoliv, co má pro organizaci hodnotu důvěrnost zajištění, že informace jsou přístupné pouze těm, kteří jsou k přístupu oprávněni integrita
VíceNávrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB
Návrh vyhlášky k zákonu o kybernetické bezpečnosti Přemysl Pazderka NCKB Východiska ISO/IEC 27001:2005 Systémy řízení bezpečnosti informací Požadavky ISO/IEC 27002:2005 Soubor postupů pro management bezpečnosti
VíceBusiness Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.
Business Continuity Management jako jeden z nástrojů zvládání rizik Ing. Martin Tobolka AEC, spol. s r.o. Co je BCM? Mezi časté příčiny přerušení kontinuity činností patří technická selhání (energie, HW,
VíceŘízení informační bezpečnosti a veřejná správa
Řízení informační bezpečnosti a veřejná správa Kladno 1.prosince 2008 Doc.RNDr. Milan BERKA, CSc. Systém řízení informační bezpečnosti Různé certifikace bezpečnosti a jejich význam NBÚ, ISO, Objekty a
VíceHodnocení rizik v resortu Ministerstva obrany
Hodnocení rizik v resortu Ministerstva obrany OBSAH Pojmy používané v procesu řízení rizik v MO Systém řízení rizik Proces řízení rizik Dokumenty systému řízení rizik Pojmy používané v procesu řízení rizik
VíceCo je riziko? Řízení rizik v MHMP
Co je riziko? Hrozba, že při zajišťování činností nastane určitá událost, jednání nebo stav s následnými nežádoucími dopady na plnění stanovených povinností, úkolů a schválených záměrů a cílů SPÚ. Je definováno
VíceŘízení rizik ICT účelně a prakticky?
Řízení rizik ICT účelně a prakticky? Luděk Novák, Petr Svojanovský, ANECT a.s. ISSS 12. 13. dubna 2010, Hradec Králové OBSAH Proč řízení rizik ICT? Základní prvky řízení rizik ICT Příklady ohodnocení Potřeby
VíceIng. Miroslav Tůma, Ph.D. Ředitel odboru kybernetické bezpečnosti a koordinace ICT Ministerstvo vnitra
Kybernetická bezpečnost resortu MV ČR 209 Varování NÚKIB 7.2.209 - JAK POSTUPOVALO MV ČR Ing. Miroslav Tůma, Ph.D. Ředitel odboru kybernetické bezpečnosti a koordinace ICT Ministerstvo vnitra Program!
VíceImplementace řízení strategických a kybernetických rizik v Pražská teplárenské s podporou SW nástroje Risk management tool
Implementace řízení strategických a kybernetických rizik v Pražská teplárenské s podporou SW nástroje Risk management tool Jiří Knápek Manažer realizace NETIA s.r.o. NETIA s.r.o Společnost poskytující
VíceISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok
ISO 9000, 20000, 27000 Informační management VIKMA07 Mgr. Jan Matula, PhD. jan.matula@fpf.slu.cz III. blok ITSM & Security management standard ISO 9000-1 ISO 9000:2015 Quality management systems Fundamentals
VícePelantová Věra Technická univerzita v Liberci. Předmět RJS. TU v Liberci
Tento materiál vznikl jako součást projektu, který je spolufinancován Evropským sociálním fondem a státním rozpočtem ČR. Řízení kvality Pelantová Věra Technická univerzita v Liberci Předmět RJS Technická
VíceNávrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.
Návrh zákona o kybernetické bezpečnosti Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.cz Předmět úpravy VKB Obsah a strukturu bezpečnostní dokumentace
VíceCobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004
CobiT Control Objectives for Information and related Technology Teplá u Mariánských Lázní, 6. října 2004 Agenda Základy CobiT Pojem CobiT Domény CobiT Hodnocení a metriky dle CobiT IT Governance Řízení
VíceBEZPEČNOSTNÍ POLITIKA INFORMACÍ
BEZPEČNOSTNÍ POLITIKA INFORMACÍ společnosti ČEZ Energetické služby, s.r.o. Stránka 1 z 8 Obsah: 1. Úvodní ustanovení... 3 2. Cíle a zásady bezpečnosti informací... 3 3. Organizace bezpečnosti... 4 4. Klasifikace
VícePřípadová studie. Zavedení ISMS dle standardu Mastercard
Případová studie Případová studie Zavedení ISMS dle standardu Mastercard Případová studie Verze 1.0 Obsah Zavedení ISMS dle standardu Mastercard Výchozí stav Zavedení ISMS dle standardu Mastercard Výchozí
VíceOrganizační opatření, řízení přístupu k informacím
Organizační opatření, řízení přístupu RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost,
VíceBezpečnostní aspekty informačních a komunikačních systémů KS2
VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní aspekty informačních a komunikačních systémů KS2 VŠFS; Aplikovaná informatika; SW systémy
VíceManagement informační bezpečnosti
Management informační bezpečnosti Definice V Brně dne 3. října 2013 Definice Common Criterta ITIL COBIT CRAMM Přiměřená ábezpečnostč Management informační bezpečnosti 2 Common Criteria Common Criteria
Víceehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti
Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti ehealth Day 2016 16.2.2016 Ing. Stanislav Bíža, Senior IT Architekt, CISA stanislav.biza@cz.ibm.com 12016 IBM Corporation Požadavky
VíceStrategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.
Strategie Implementace GDPR Michal Zedníček michal.zednicek@alef.com ALEF NULA, a.s. Co je obsahem GDPR Kdo/co/jak/proč Definice zpracování OÚ Organizační opatření Řízení bezpečnosti OÚ Pravidla ochrany
VíceEMS - Systém environmentálního managementu. Jiří Vavřínek CENIA
EMS - Systém environmentálního managementu Jiří Vavřínek CENIA Osnova Použití normy a přínosy Demingůvcyklus (PDCA) Hlavní principy a prvky EMS / ISO 14001 Zainteresované strany Požadavky na management/ekology
Více3.přednáška. Informační bezpečnost: Řízení IS/IT
Systém řízení informační bezpečností (ISMS) RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost,
VíceProjektové řízení a rizika v projektech
Projektové řízení a rizika v projektech Zainteresované strany Zainteresované strany (tzv. stakeholders) jsou subjekty (organizace, lidé, prostory, jiné projekty), které realizace projektu ovlivňuje. Tyto
VícePřeklad a interpretace pro české prostředí
Information Security Management Information Risk Management Business Continuity Management Information Forensic Analysis RISK ANALYSIS CONSULTANTS BS ISO/IEC 27001:2005 Information Security Management
VíceStandardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha
Standardy/praktiky pro řízení služeb informační bezpečnosti Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha Služby informační bezpečnosti Nemožnost oddělit informační bezpečnost od IT služeb
VíceSem vložte zadání Vaší práce.
table 1 Sem vložte zadání Vaší práce. České vysoké učení technické v Praze Fakulta informačních technologií Katedra teoretické informatiky Bakalářská práce Metodika zavádění ISMS do malých a středních
VíceGradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI
Gradua-CEGOS, s.r.o. člen skupiny Cegos Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER EMS
VíceAudit ICT. KATALOG služeb. Ing. Jiří Štěrba
KATALOG služeb Ing. Jiří Štěrba Obsah Úvod 3 Služby 4 Zaměření 5 Nabídka 7 Poptávka 8 Ke stažení 9 Reference 10 Informace 11 Kontakty 12 2 Úvod Dovolte, abychom Vám poskytli informace, které jsou věnovány
VíceJan Hřídel Regional Sales Manager - Public Administration
Podpora kvality ICT ve veřejné správě pohledem Telefónica O2 4. Národní konference kvality Karlovy Vary Jan Hřídel Regional Sales Manager - Public Administration Obsah 1. Strategie v ICT využití metody
VíceMANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.8/2007
Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ
VíceBezepečnost IS v organizaci
Bezepečnost IS v organizaci analýza rizik Zabezpečení informačního systému je nutné provést tímto postupem: Zjistit zranitelná místa, hlavně to, jak se dají využít a kdo toho může zneužít a pravděpodobnost
VíceMANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007
Gradua-CEGOS, s.r.o., Certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ
VíceCYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe
CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe Ing. Aleš Špidla Ředitel odboru bezpečnostní politiky MPSV Člen rady Českého institutu manažerů informační bezpečnosti Ales.spidla@mpsv.cz,
VíceInovace bakalářského studijního oboru Aplikovaná chemie http://aplchem.upol.cz
http://aplchem.upol.cz CZ.1.07/2.2.00/15.0247 Tento projekt je spolufinancován Evropským sociálním fondem a státním rozpočtem České republiky. Řízení rizik pro jakost (Quality Risc Management - QRM) Doc.
VíceEfektivní řízení rizik ISMS. Luděk Novák, Petr Svojanovský ANECT a.s.
Efektivní řízení rizik ISMS Luděk Novák, Petr Svojanovský ANECT a.s. Obsah Proč řízení rizik ICT? Základní prvky řízení rizik ICT Příklady ohodnocení Potřeby řízení rizik ICT Registr rizik ICT Závěr Motto:
VíceSystém řízení bezpečnosti informací v praxi
Systém řízení bezpečnosti informací v praxi Mgr. Pavel tros, Ph.D. Practice Leader pro Bezpečnost&Monitoring stros@datasys.cz Systém řízení bezpečnosti informací (ISMS) Kybernetická bezpečnost je rozsáhlá
VíceWS PŘÍKLADY DOBRÉ PRAXE
WS PŘÍKLADY DOBRÉ PRAXE ISO 9001 revize normy a její dopady na veřejnou správu Ing. Pavel Charvát, člen Rady pro akreditaci Českého institutu pro akreditaci 22.9.2016 1 ISO 9001 revize normy a její dopady
VíceMANAŽER SM BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.10/2007
Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER SM PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ
VíceTVORBA BEZPEČNOSTNÍ POLITIKY ORGANIZACE A HAVARIJNÍHO PLÁNU
TVORBA BEZPEČNOSTNÍ POLITIKY ORGANIZACE A HAVARIJNÍHO PLÁNU Dagmar Brechlerová KIT PEF ČZU, Praha 6, Kamýcká, dagmar.brechlerova@seznam.cz ABSTRAKT: Budování bezpečnosti v organizaci není amatérská činnost,
VícePředstavení projektu Metodika
Představení projektu Metodika přípravy veřejných strategií Strategické plánování a řízení v obcích metody, zkušenosti, spolupráce Tematická sekce Národní sítě Zdravých měst Praha, 10. května 2012 Obsah
VíceImplementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem
Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem 16. 5. 2018 Konference k problematice GDPR ve veřejné správě, Národní archiv Praha Implementace
VíceImplementace BEZPEČNOSTNÍ POLITIKY v organizaci. RNDr. Luboš Číž, CISA, CISM DCIT, a.s.,
Implementace BEZPEČNOSTNÍ POLITIKY v organizaci RNDr. Luboš Číž, CISA, CISM ciz@dcit.cz DCIT, a.s., http://www.dcit.cz AGENDA Bezpečnostní politika ví každý co to je? Typy bezpečnostních politik Postup
VíceZásady managementu incidentů
Obsah prezentace Zásady managementu incidentů Úvod, základní pojmy ISO/IEC TR 18044 ISO/IEC TR 18044 ISO/IEC TR 18044 Information technology Security techniques Information security incident management
VíceObecné nařízení o ochraně osobních údajů
AGORA PLUS, a.s. Ing. Martin Havel, MBA General Data Protection Regulation (zkráceně GDPR) Obecné nařízení o ochraně osobních údajů Jak zvládnout GDPR v 9-ti krocích 22.9.2017, Brno Představení 2012 CISM
VíceZákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@email.cz, 603 248 295
Zákon o kybernetické bezpečnosti základní přehled Luděk Novák ludekn@email.cz, 603 248 295 Obsah Zákon č. 181/2014 Sb., o kybernetické bezpečnosti Vyhláška č. 316/2014 Sb., vyhláška o kybernetické bezpečnosti
VíceAnalýza rizik a pokročilý monitoring bezpečnosti sítí v prostředí kybernetických hrozeb Dr. Igor Čermák
Analýza rizik a pokročilý monitoring bezpečnosti sítí v prostředí kybernetických hrozeb Dr. Igor Čermák Analýza rizik a pokročilý monitoring bezpečnosti sítí v prostředí kybernetických hrozeb Igor Čermák
VíceISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA
ISO 9001:2009 a ISO 27001:2005 dobrá praxe Ing. Martin Havel, MBA Obsah 1. Podstata řešení 2. Cíle 3. Průběh implementace 4. Přínos 5. Výsledky 6. Doporučení 2 Podstata řešení Vytvoření jednotného systému
VíceIntegrovaný systém řízení
Integrovaný systém řízení Praha 15. 9. 2016 Hana Churáčková založen v r. 1919 rozhoduje v rámci správního řízení o poskytování ochrany na: vynálezy ochranné známky průmyslové vzory užitné vzory zeměpisná
VíceGradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI
Gradua-CEGOS, s.r.o. člen skupiny Cegos Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER BOZP
VíceŘízení kybernetické a informační bezpečnosti
Řízení kybernetické a informační bezpečnosti Martin Hanzal předseda sekce Kybernetická a informační bezpečnost AOBP CEVRO Institut, 22. dubna 2014 Sekce Kybernetická a informační bezpečnost Je nevládní,
VíceAUDITOR EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.9/2007
Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 AUDITOR EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ
VíceCo je a co není implementace ISMS dle ISO a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o.
Co je a co není implementace ISMS dle ISO 27001 a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o. OBSAH Co je implementace ISMS dle ISO 27001 Proč měřit ISMS? Zdroje pro měření
VíceBEZPEČNOSTNÍ POLITIKA PRO BEZPEČNOST INFORMACÍ V ORGANIZACI
BEZPEČNOSTNÍ POLITIKA PRO BEZPEČNOST INFORMACÍ V ORGANIZACI Název organizace Identifikační číslo 60153351 Sídlo organizace Datum zpracování 18. 5. 2018 Platnost a účinnost 25. 5. 2015 ZÁKLADNÍ ŠKOLA A
Více1. Certifikační postup. 1.1 Příprava auditu. 1.2 Audit 1. stupně
Certifikační postup systému managementu (BCMS, ISMS, SMS) sestává z přípravy nabídky a smlouvy, přípravy auditu, provedení auditu 1. stupně a vyhodnocení systémové dokumentace, provedení auditu 2. stupně,
VíceOCTAVE ÚVOD DO METODIKY OCTAVE
OCTAVE ÚVOD DO METODIKY OCTAVE Velká závislost organizací na informačních systémech s sebou přináší také nemalé požadavky na zabezpečení zpracovávaných a uložených informací. Důvěrnost, dostupnost a integrita
VíceRisk management a Interní audit
Risk management a Interní audit Zkušenosti z implementace systému řízení rizik v ČD a ve Skupině ČD projekt Corporate Governance (panelová diskuse) Požadavky na řízení rizik - Corporate Governance 9. Společnosti
VíceBEZPEČNOST ICT. Marek Chlup
BEZPEČNOST ICT Marek Chlup Obsah Předmluva... 3 1. Zavedení systému řízení bezpečnosti ISMS... 4 2. Zavedení systému řízení bezpečnosti ISMS Model PDCA... 7 3. ISMS - ohodnocení aktiv...11 4. Analýza rizik...14
VíceInformační bezpečnost. Dana Pochmanová, Boris Šimák
Informační bezpečnost Dana Pochmanová, Boris Šimák 10.5. 2017 Agenda Bezpečnost informací IT rizika Klíčové role IT bezpečnosti v organizaci Bezpečný vývoj IS Normy a standardy v oblasti IT bezpečnosti
Vícewww.tuv-sud.cz TÜV SÜD Czech s.r.o. Systém energetického managementu dle ČSN EN 16001
www.tuv-sud.cz s.r.o. Systém energetického managementu dle ČSN EN 16001 Zavádění sytému energetického managementu dle ČSN EN 16001 Záměr zvyšování energetické účinnosti trvalý proces zefektivňování snížení
VíceBezpečnostní normy a standardy KS - 6
VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní normy a standardy KS - 6 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 2 Osnova historický
VícePotřeba jednotného řízení a konsolidace rizik
Potřeba jednotného řízení a konsolidace rizik 13. ročník konference ISSS Hradec Králové Josef Šustr 12. dubna 2010 Riziko Riziko je potenciální možnost, že se něco stane, co ovlivní dosažení našich cílů.
VíceISO/IEC 20000 certifikace v ČR. Miroslav Sedláček
ISO/IEC 20000 certifikace v ČR Miroslav Sedláček ek auditor, EZU EZU Elektrotechnický zkušební ústav založen v roce 1926 80 let zkoušení a testování elektrotechnických výrobků Certifikační orgán pro QMS
VícePOMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1
POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Verze 2.1 Obsah 1. Úvod... 4 2. Vymezení pojmů... 5 3. Bezpečnostní opatření... 7 3.1. Organizační opatření... 7 3.1.1.
VíceKybernetická bezpečnost MV
Kybernetická bezpečnost MV Ing. Miroslav Tůma Ph. D. odbor kybernetické bezpečnosti a koordinace ICT miroslav.tuma@mvcr.cz Agenda 1. Pokyn MV - ustanovení Výboru pro řízení kybernetické bezpečnosti 2.
VíceKybernetická bezpečnost resortu MV
Kybernetická bezpečnost resortu MV Ing. Miroslav Tůma Ph. D. odbor kybernetické bezpečnosti a koordinace ICT miroslav.tuma@mvcr.cz Agenda 1. Pokyn MV - ustanovení Výboru pro řízení kybernetické bezpečnosti
VíceMEZINÁRODNÍ NORMY A DIGITÁLNÍ KONTINUITA. Tomáš Bezouška Praha,
MEZINÁRODNÍ NORMY A DIGITÁLNÍ KONTINUITA Tomáš Bezouška Praha, 10. 10. 2017 Digitální kontinuita je soubor procesů, opatření a prostředků nutných k tomu, abychom byli schopni zajistit dlouhodobou důvěryhodnost
VícePŘÍLOHA Č. 4 - ANALÝZA RIZIK
PŘÍLOHA Č. 4 - ANALÝZA RIZIK Cílem této kapitoly je identifikovat a popsat, pokud možno eliminovat resp. navrhnout opatření ke snížení a tím zvýšit pravděpodobnost úspěchu implementace strategie. Rizika
VíceISO 9001 : 2015. Certifikační praxe po velké revizi
ISO 9001 : 2015 Certifikační praxe po velké revizi Audit Audit z lat. auditus, slyšení Vzhledem k rozsahu prověřování se audit obvykle zabývá jen vzorky a jeho výsledek tedy neznamená naprostou jistotu,
VíceISO 9001:2015 CERTIFIKACE ISO 9001:2015
CERTIFIKACE ISO 9001:2015 Akreditace UKAS ISO 9001:2015 Požadavky UKAS Zvažování rizik se znalostí kontextu organizace Efektivní vedení (leadership) Méně dokumentace v systému managementu kvality Aplikace
VíceO2 a jeho komplexní řešení pro nařízení GDPR
O2 a jeho komplexní řešení pro nařízení GDPR Jiří Sedlák Director Security Expert Center Predikce směru kyberútoků v roce 2017 Posun od špionáže ke kybernetické válce Zdravotnické organizace budou největším
VíceMendelova zemědělská a lesnická univerzita. Provozně ekonomická fakulta Ústav informatiky
Mendelova zemědělská a lesnická univerzita v Brně Provozně ekonomická fakulta Ústav informatiky Řešení informační bezpečnostní politiky v nekomerční organizaci. Diplomová práce Vedoucí práce: Ing. Ludmila
VíceRizika na pracovišti. Tomáš Svoboda COS I FN Brno, PMDV
Rizika na pracovišti Tomáš Svoboda COS I FN Brno, PMDV RIZIKO = kombinace pravděpodobnosti výskytu nežádoucího jevu a stupně negativního dopadu takového jevu na výstup procesu očekávaná hodnota škody odchýlení
VíceAudit ICT. KATALOG služeb. Ing. Jiří Štěrba
KATALOG služeb Ing. Jiří Štěrba Obsah Úvod 3 Služby 4 Zaměření 5 Nabídka 7 Poptávka 8 Ke stažení 9 Reference 10 Informace 11 Kontakty 12 2 Úvod Dovolte, abychom Vám poskytli informace, které jsou věnovány
VíceSystém řízení informační bezpečnosti Information security management systém
Systém řízení informační bezpečnosti Information security management systém Luděk Novák, Josef Požár 1 1. Úvod Na informační bezpečnost se dá nahlížet z různých úhlů a obecně tento pojem zahrnuje celou
VíceTEORETICKÉ OTÁZKY BEZPEČNOSTI
TEORETICKÉ OTÁZKY STAV v konkrétních podmínkách umožňuje plnění stanovených funkcí a jejich rozvoj v zájmu člověka a společnosti párové termíny STAV NEBEZPEČÍ protikladný stav SYSTÉM společenský, přírodní,
VícePříspěvek je věnován základním informacím o způsobu volby vhodné strategie řízení kontinuity činností v organizaci.
Mgr. Monika Johaníková Ochrana & Bezpečnost 2013, ročník II., č. 3 (podzim), ISSN 1805-5656 Stanovení strategie řízení kontinuity činností Anotace Příspěvek je věnován základním informacím o způsobu volby
VíceTyp aktiv Aktivum Hrozba Zranitelnost Riziko
Zbytková rizika Typ aktiv Aktivum Hrozba Zranitelnost Částečná úroveň rizika Snížení hrozby Snížení zranit. Zbytkové Namapovaná opatření Riziko C I A T MAX Hodnota MAX Hodnota riziko ISO? specif.? Datová
VíceGradua-CEGOS, s.r.o. AUDITOR BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI. CS systémy managementu organizací verze 2, 8.2, b) 1.
Gradua-CEGOS, s.r.o. Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 AUDITOR BOZP PŘEHLED POŽADOVANÝCH
VíceManagement informační bezpečnosti. V Brně dne 26. září 2013
Management informační bezpečnosti Úvod a základní pojmy V Brně dne 26. září 2013 Základní pojmy Informatika - proces spojený s automatizovaným zpracováním dat Manažerská informatika - propojení dvou oborů
VíceImplementace ZKB. Ing. Miroslav Jaroš. Energetický regulační úřad.
Implementace ZKB Ing. Miroslav Jaroš Energetický regulační úřad Miroslav.Jaros@eru.cz Bezpečnost informací v ERÚ ERÚ je správcem IS s názvem Jednotný informační systém ERÚ ( JIS ) Bezpečnost informací
Více1. KURZ č. 1 - QMS - Školení a výklad normy ČSN EN ISO 9001:2001. 2. KURZ č. 2 - QMS - Školení interních auditorů QMS a metrologa
Návrh školících modulů pro projekt dotací ESF Tématika norem: - ČSN EN ISO 9001: 2001 Systémy managementu jakosti - Požadavky; - ČSN ISO/IEC 27001:2006 Informační technologie - Bezpečnostní techniky -
VíceDnešní téma se vztahuje k problematice souboru postupů pro management bezpečnosti informací hodnocení rizik bezpečnosti informací.
Dnešní téma se vztahuje k problematice souboru postupů pro management bezpečnosti informací hodnocení rizik bezpečnosti informací. 1 V rámci tohoto tématu se budeme zabývat následujícími oblastmi viz snímek.
VíceČESKÁ TECHNICKÁ NORMA
ČESKÁ TECHNICKÁ NORMA ICS 35.040 Červenec 2009 Informační technologie Bezpečnostní techniky Řízení rizik bezpečnosti informací ČSN ISO/IEC 27005 36 9790 Information technology Security techniques Information
Více