Řízení rizik. RNDr. Igor Čermák, CSc.

Podobné dokumenty
Systém řízení informační bezpečnosti (ISMS)

Normy a standardy ISMS, legislativa v ČR

V Brně dne 10. a

ČESKÁ TECHNICKÁ NORMA

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

Implementace systému ISMS

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi října 2011 r

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

V Brně dne a

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Inovace bakalářského studijního oboru Aplikovaná chemie

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

srpen 2008 Ing. Jan Káda

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.

Řízení informační bezpečnosti a veřejná správa

Hodnocení rizik v resortu Ministerstva obrany

Co je riziko? Řízení rizik v MHMP

Řízení rizik ICT účelně a prakticky?

Ing. Miroslav Tůma, Ph.D. Ředitel odboru kybernetické bezpečnosti a koordinace ICT Ministerstvo vnitra

Implementace řízení strategických a kybernetických rizik v Pražská teplárenské s podporou SW nástroje Risk management tool

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok

Pelantová Věra Technická univerzita v Liberci. Předmět RJS. TU v Liberci

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

Případová studie. Zavedení ISMS dle standardu Mastercard

Organizační opatření, řízení přístupu k informacím

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Management informační bezpečnosti

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

EMS - Systém environmentálního managementu. Jiří Vavřínek CENIA

3.přednáška. Informační bezpečnost: Řízení IS/IT

Projektové řízení a rizika v projektech

Překlad a interpretace pro české prostředí

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Sem vložte zadání Vaší práce.

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Jan Hřídel Regional Sales Manager - Public Administration

MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.8/2007

Bezepečnost IS v organizaci

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

Inovace bakalářského studijního oboru Aplikovaná chemie

Efektivní řízení rizik ISMS. Luděk Novák, Petr Svojanovský ANECT a.s.

Systém řízení bezpečnosti informací v praxi

WS PŘÍKLADY DOBRÉ PRAXE

MANAŽER SM BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.10/2007

TVORBA BEZPEČNOSTNÍ POLITIKY ORGANIZACE A HAVARIJNÍHO PLÁNU

Představení projektu Metodika

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

Implementace BEZPEČNOSTNÍ POLITIKY v organizaci. RNDr. Luboš Číž, CISA, CISM DCIT, a.s.,

Zásady managementu incidentů

Obecné nařízení o ochraně osobních údajů

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Analýza rizik a pokročilý monitoring bezpečnosti sítí v prostředí kybernetických hrozeb Dr. Igor Čermák

ISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA

Integrovaný systém řízení

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

Řízení kybernetické a informační bezpečnosti

AUDITOR EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.9/2007

Co je a co není implementace ISMS dle ISO a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o.

BEZPEČNOSTNÍ POLITIKA PRO BEZPEČNOST INFORMACÍ V ORGANIZACI

1. Certifikační postup. 1.1 Příprava auditu. 1.2 Audit 1. stupně

OCTAVE ÚVOD DO METODIKY OCTAVE

Risk management a Interní audit

BEZPEČNOST ICT. Marek Chlup

Informační bezpečnost. Dana Pochmanová, Boris Šimák

TÜV SÜD Czech s.r.o. Systém energetického managementu dle ČSN EN 16001

Bezpečnostní normy a standardy KS - 6

Potřeba jednotného řízení a konsolidace rizik

ISO/IEC certifikace v ČR. Miroslav Sedláček

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

Kybernetická bezpečnost MV

Kybernetická bezpečnost resortu MV

MEZINÁRODNÍ NORMY A DIGITÁLNÍ KONTINUITA. Tomáš Bezouška Praha,

PŘÍLOHA Č. 4 - ANALÝZA RIZIK

ISO 9001 : Certifikační praxe po velké revizi

ISO 9001:2015 CERTIFIKACE ISO 9001:2015

O2 a jeho komplexní řešení pro nařízení GDPR

Mendelova zemědělská a lesnická univerzita. Provozně ekonomická fakulta Ústav informatiky

Rizika na pracovišti. Tomáš Svoboda COS I FN Brno, PMDV

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Systém řízení informační bezpečnosti Information security management systém

TEORETICKÉ OTÁZKY BEZPEČNOSTI

Příspěvek je věnován základním informacím o způsobu volby vhodné strategie řízení kontinuity činností v organizaci.

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Gradua-CEGOS, s.r.o. AUDITOR BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI. CS systémy managementu organizací verze 2, 8.2, b) 1.

Management informační bezpečnosti. V Brně dne 26. září 2013

Implementace ZKB. Ing. Miroslav Jaroš. Energetický regulační úřad.

1. KURZ č. 1 - QMS - Školení a výklad normy ČSN EN ISO 9001: KURZ č. 2 - QMS - Školení interních auditorů QMS a metrologa

Dnešní téma se vztahuje k problematice souboru postupů pro management bezpečnosti informací hodnocení rizik bezpečnosti informací.

ČESKÁ TECHNICKÁ NORMA

Transkript:

Řízení rizik RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost, MI-IBE, zimní semestr 2011/2012, Přednáška 6 MI-POA Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti Informační bezpečnost (MI-IBE) 6.přednáška Analýza a správa rizik, řízení rizik 1

Nové standardy v oblasti informační bezpečnosti ISO/IEC 2700x 27000:2009 slovník a terminologie ISMS 27003:20010 návod k implementaci norem ISMS 27004:2009 měření účinnosti ISMS 27005:2011 metoda řízení rizik (27005:2005 již zrušeno) 27006:2007 doporučení a požadavky na certifikaci ISMS pro akreditované certifikační autority (organizace); 27007:? doporučení k provádění auditů podle ISMS (v přípravě 2011?) 27008:2011 doporučení pro auditory pro auditování nastavených opatření informační bezpečnosti 27009:? - přečíslováno Informační bezpečnost - přínosy Přínosy systému informační bezpečnosti minimalizace rizik prokazatelně existujících hrozeb (počítačové viry, neoprávněná manipulace s daty, ztráta nebo vyzrazení citlivých dat, průniky z internetu apod.) jasné postupy řešení neočekávaných situací (minimalizují potenciální ztráty - důsledky případných výpadků a havárií) vymezení povinností a zodpovědnosti zaměstnanců (snižuje riziko bezpečnostních incidentů, zajišťuje nepopiratelnost) naplnění legislativních požadavků 2

Možná cesta: Zavádění ISMS metodologie COBIT v oblasti řízení IT a definování zodpovědností, Procesní charakter řešení bezpečnosti, Naplnění legislativních požadavků (ochrana osobních dat, oborová legislativa) Bezpečnost nelze posuzovat pouze v kontextu návratnosti investic, ale zejména v kontextu zvládání rizik. ISMS ISMS je systém managementu bezpečnosti informací Je součástí globálního systému řízení organizace Je založen na přístupu vyhodnocování rizik Zahrnuje komplexní mechanismus průběžné analýzy, implementace, kontroly, údržby a zlepšování systému informační bezpečnosti Zajištění systematické prevence vzniku incidentů Spolehlivé vnitřní kontrolní mechanizmy Stanovení vymahatelných pravidel a povinností pro všechny zainteresované strany 3

Zavádění ISMS Proces správy a řízení rizik je základem ISMS Bezpečnost informací není boj proti hackerům a spamu Výběr vhodné metodologie a nástroje analýzy rizik (CRAMM, Octave, FRAAP, RA Tool,.) Využití standardů při zavádění ISMS norma doporučuje zřízení kontinuálního a systematického procesu řízení bezpečnosti ISMS není třeba nasazovat plošně (častá chyba) Bezpečnostní standardy (normy) Významná podpora pro zavádění informační bezpečnosti (metodický nástroj) Důležitý prvek informační bezpečnosti sjednocující formy bezpečnostních opatření a přístupy k informační bezpečnosti Využití best practices ( nejlepších zkušeností ) pomáhá při řešení bezpečnostních otázek Konfrontace s realitou v organizaci - přizpůsobení 4

Řízení rizik bezpečnosti informací ISO/IEC 27005: Information Security Risk Management; Vyšla z ISO/IEC TR13335-5 A především z BS 7799-3 Opírá se o soulad s ISO/IEC 27001 Harmonizace s obecnými principy řízení rizik (ISO/IEC 27500 Řízení rizik) Cyklus PDCA P Plánuj Ustavení ISMS Zúčastněné strany D Bezpečnost informací, požadavky a očekávání Dělej Zavádění a provozování ISMS C Cyklus vývoje, údržby a kontinuálního zlepšování ISMS Kontroluj Monitorování a přezkoumání ISMS A Jednej Udržování a zlepšování ISMS Řízená bezpečnost informací Zúčastněné strany Zdroj DCIT a.s. 5

Vybudování a provoz ISMS Analytické a formalizační činnosti Strategická bezpečnostní politika Strategie BCM P Plánuj Ustavení ISMS Identifikace aktiv (AR) Identifikace čiností, komponent Analýza dopadů (BIA) Srovnávací analýza (GAP) D Dělej Zavádění a provozování ISMS Cyklus vývoje, údržby a kontinuálního zlepšování ISMS C Kontroluj Monitorování a přezkoumání ISMS A Jednej Udržování a zlepšování ISMS Řízení rizik (RM) Bezpečnostní dokumentace (BD) Řízení kontinuity (BCM) Zdroj DCIT a.s. Cyklus PDCA P, Plan, Plánuj Ustavení ISMS v souladu s ISO 27001 Staqnovení rozsahu a hranic rozsahu ISMS Hlavní činnosti, organizační struktura, lokality, aktiva, Určení politiky ISMS (bezpečnostní politika, BP) (AR) Systematický přístup, metodika AR a řízení rizik Výběr opatření vázán na nalezená rizika (viz. SoA) Identifikace, ohodnocování a plán zvládání rizik Prohlášení o aplikovatelnosti (SoA) cíle, odůvodněný výběr opatření souhlas vedení se zbytkovými riziky 6

Identifikace aktiv Zmapování aktiv a vytvoření modelu: Informační aktiva (IA) Aplikační aktiva (AA) Fyzická aktiva (FA) Globální aktiva (GA) Ocenění a klasifikace aktiv Analýza hrozeb a zranitelností Kategorizace hrozeb, stanovení míry rizika Zdroj DCIT a.s. Návrh protiopatření eliminace identifikovaných rizik výběr opatření z katalogu opatření normy ISO/IEC 27002 vazba opatření na identifikovaná rizika Priority řešení (plán zvládání rizik) odhad náročnosti časové, finanční, personální, rozdělení opatření do skupin opatření (quick-win, need-tohave, nice-to have) GAP analýza rozdílová analýza míry shody s normou 7

Aktiva Předmět managementu rizik Nezbytná evidence všech důležitých aktiv Fyzická aktiva (HW, komunikační prostředky, budovy) Informace/data (dokumenty, databáze) SW Schopnost vytvářet určité produkty nebo poskytovat určité služby (know-how) Lidé Nehmotné hodnoty (image firmy) Hrozby Potenciální příčina incidentu, která může mít za následek poškození aktiv Pro způsobení škody využívá existující zranitelnosti aktiv Hrozby: Přírodní původ Lidský původ Hrozby: Náhodné Úmyslné Příklady: (odposlech, hacking, chybný příkaz, zemětřesení,..) 8

Zranitelnost Slabá stránka aktiva nebo skupiny aktiv, která může být využita jednou nebo více hrozbami (ke způsobení škody nebo ztráty) Zranitelnost sama o sobě není příčinou škody, je podmínkou, která umožní hrozbě, aby ovlivnila aktiva Nezbytnost monitoringu existujících zranitelností, identifikace zranitelností Proces postupného odhalování zranitelností a úpravy aktiv (příklad SW patche) Zranitelnost Pozor: proměna hrozeb nové zranitelnosti, Opakované analýzy zranitelností prozkoumání slabých míst (weak points), která mohou být využita identifikovanými hrozbami, Zranitelnost aktiva vztahujeme vůči konkrétní hrozbě; Úroveň hrozby versus pravděpodobnost hrozby 9

Dopad Důsledek nežádoucího incidentu, který má vliv na aktiva Může být způsoben úmyslně nebo neúmyslně Různé podoby následku narušení bezpečnosti informací Měření dopadů (pro nalezení rovnováhy mezi dopady (výsledky nežádoucích incidentů) a náklady na ochranná opatření, která eliminují nebo snižují pravděpodobnost takového incidentu. Pro výběr opatření je důležitá výše škody způsobené takovým nežádoucím incidentem a pravděpodobnost výskytu (frekvence opakování) Riziko Potenciální možnost, že daná hrozba využije existující zranitelnost, Vede k poškození aktiva Jedna hrozba může využít více zranitelností nebo jedna zranitelnost může být využita více hrozbami Riziko je charakterizováno jako kombinace dvou faktorů, pravděpodobnosti výskytu nežádoucího incidentů a jeho dopadu. Každá změna aktiva, hrozeb, zranitelností nebo ochranných opatření může výrazně ovlivnit míru rizika Realizace vhodných opatření = snížení rizika 10

Management rizik Zdroj norma TR 13335-1 Systematické používání informací k identifikování zdrojů a odhadu rizika Základ pro hodnocení rizika (celkový proces analýzy a vyhodnocení rizik), pro ošetření rizika a pro přijetí rizika (akceptace rizika) identifikuje rizika, které je nutné kontrolovat nebo akceptovat Zahrnuje analýzu hodnoty aktiv, hrozeb a zranitelností Rizika mohou být odhadnuta z hlediska možného dopadu vzniklého porušením bezpečnosti (C.I.A.) 11

Důležitost výběru vhodné metody analýzy rizik: Kvantitativní Kvalitativní Kvalitativní pomocí škály hodnot nebo slovního popisu; míra je určována kvalifikovaným odhadem Kvantitativní založené na matematickém výpočtu rizika z frekvence hrozby a jeho dopadu (například rozsah finančních ztrát za určité období) Výsledek analýzy rizik: určení působících hrozeb, rizik těchto hrozeb a míry dopadu (rozsah potenciálních škod) Při implementaci ISMS je normou předepsáno: Stanovení systematického přístupu k hodnocení rizik (risk assesment): vhodná metodologie hodnocení rizik, určení požadavků na bezpečnost informací, zákonné a další regulatorní požadavky (metodologie musí zajistit reprodukovatelnost a porovnatelnost hodnocení) Vybrat kritéria pro akceptaci rizika a identifikovat přijatelnou úroveň rizika Identifikovat rizika: Identifikovat aktiva v rámci rozsahu ISMS a jejich vlastníky Identifikovat hrozby pro tato aktiva Identifikovat zranitelnosti, které by mohly být hrozbami využity Identifikovat, jako dopady na aktiva by mohla mít ztráta důvěry, integrity, dostupnosti eventuálně dalších bezpečnostních požadavků 12

Při implementaci ISMS je normou předepsáno: Analyzovat a ohodnotit rizika Ohodnotit dopady na činnost organizace (odhad/výpočet dopadů ztráty důvěrnosti, integrity nebo dostupnosti aktiv) Ohodnotit reálnou pravděpodobnost takového selhání způsobeného kombinací hrozby a zranitelnosti a jeho dopadu při konkrétních aktuálně zavedených kontrolách (opatřeních) Odhadnout/kalkulovat úrovně rizik Hodnocení rizik oproti předdefinované škále rizik Určit, zda je riziko akceptovatelné nebo vyžaduje zvládání rizika (risk treatment) Při implementaci ISMS je normou předepsáno: Identifikovat a ohodnotit varianty pro zvládání rizika Aplikování vhodných opatření Vědomé a objektivní přijmutí rizik za předpokladu, že splňují kritéria pro akceptaci (risk acceptance rozhodnutí o přijetí rizika) Vyhnutí se rizikům (risk avoidance) rozhodnutí neúčastnit se rizikové situace nebo rozhodnutí směřující k opuštění rizikové situace Přenesení rizik na třetí strany (risk transfer - sdílení ztráty s jinou stranou) například pojišťovna, smluvní partner, zákazník, dodavatel, stát, zaměstnanci, zaměstnavatel 13

Při implementaci ISMS je normou předepsáno: Vybrat cíle řízení a jednotlivá opatření pro zvládání rizik Pro splnění požadavků identifikovaných v průběhu hodnocení rizik a procesu zvládání rizik, zohlednění kritérií pro akceptování, zákonných, smluvních a dalších požadavků Výběr cílů řízení a opatření uvedených v příloze A normy ISO/IEC 27001 Souhlas vedení s navrženými zbytkovými riziky(residul risk) Implementací navržených opatření z plánů zvládání rizika dochází ke snížení rizika (risk reduction) snížením pravděpodobnosti nebo dopadu nežádoucích událostí Řízení rizik Vstupy: Registr aktiv Registr zranitelností Registr hrozeb Výstupy: Registr rizik Karty rizika 14

Řízení rizik Neidentifikovaná rizika Komunikace rizika (risk comunication) Nástroje řízení rizik (risk control) - aktivity, kterými se implementují rozhodnutí při řízení rizik Kritéria rizika (risk criteria) podmínky nebo kompetence, podle kterých je významnost rizika posuzována) Management rizik (risk management) koordinovaná činnost k řízení a kontrole organizace s ohledem na rizika Přezkoumání rizik a nové posouzení (v rámci ISMS) cyklus PDCA Role Manažer bezpečnostních rizik Risk Manager Formalizované SW nástroje pro podporu procesu řízení rizik Kontinuální činnost 15

Otázky? Děkuji za pozornost RNDr. Igor Čermák, CSc. igor.cermak@fit.cvut.cz 16

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář