Životní cyklus rizik - identifikace.

Podobné dokumenty
Organizace a řízení rizik.

Životní cyklus rizik omezení, kontrola a registr rizik.

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Archivace, legislativní dopady na IT - II.

Standardy a definice pojmů bezpečnosti informací

Životní cyklus rizik Vyhodnocení, eliminace

V Brně dne a

OCTAVE ÚVOD DO METODIKY OCTAVE

Inovace bakalářského studijního oboru Aplikovaná chemie

Efektivní řízení rizik ISMS. Luděk Novák, Petr Svojanovský ANECT a.s.

Informační bezpečnost. Dana Pochmanová, Boris Šimák

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

Management rizik v životním cyklu produktu

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

Bezpečnostní politika společnosti synlab czech s.r.o.

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

ČESKÁ TECHNICKÁ NORMA

ZMĚNA ČESKÉHO OBRANNÉHO STANDARDU. AAP-48, Ed. B, version 1

ČESKÁ TECHNICKÁ NORMA

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Hrozby v informatice.

Modelování hrozeb. Hana Vystavělová AEC, spol. s r.o.

Projektové řízení a rizika v projektech

Implementace systému ISMS

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

Business impact analýza a zvládání rizik spojených s provozem nedůvěryhodných zařízení BVS. František Sobotka NOVICOM s.r.o

Jak na jakost v podnikovém IT Evropský týden kvality Praha

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

2.přednáška. Informační bezpečnost: Systém řízení informační bezpečnosti (ISMS)

Inovace bakalářského studijního oboru Aplikovaná chemie

Metodika konstruování Systémy pro podpůrné činnosti při vývoji produktu

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Případová studie. Zavedení ISMS dle standardu Mastercard

V Brně dne 10. a

Management informační bezpečnosti

Vzdělávání pro bezpečnostní systém státu

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Fyzická bezpečnost. Bezpečnost informací v ČR. Ing. Oldřich Luňáček, Ph.D. oldrich.lunacek@unob.cz

Jak efektivně ochránit Informix?

Katalog služeb a podmínky poskytování provozu

Systém řízení informační bezpečnosti (ISMS)

Řízení rizik. RNDr. Igor Čermák, CSc.

Security Expert Center (SEC)

[ 1 ] Ing. František Chuchma, CSc. Seminář SVP/SDP, Státní ústav kontrolu léčiv

Management informační bezpečnosti. V Brně dne 26. září 2013

Jak eliminovat rizika spojená s provozem nedůvěryhodných zařízení v síti? BVS. Jindřich Šavel NOVICOM s.r.o

Přístupy k řešení a zavádění spisové služby

egrc řešení - nástroj pro efektivní řízení bezpečnosti dle kybernetického zákona Marian Němec AEC a.s.

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok

AEC, spol. s r. o. Jak bezpečnost IT nastavit v souladu s business požadavky společnosti. Tomáš Strýček Internet & Komunikace Modrá 4.6.

Od teorie k praxi víceúrovňové bezpečnosti

Normy a standardy ISMS, legislativa v ČR

QualityRisk Management. Úvod do problematiky. Září 2015

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Ing. Petr Kalčev, Ph.D.

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

ICT bezpečnost a její praktická implementace v moderním prostředí

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

72 SLUŽBY V OBLASTI VÝPOČETNÍ TECHNIKY; OPRAVY A ÚDRŽBA KANCELÁŘSKÝCH STROJŮ A POČÍTAČŮ. Kód SKP N á z e v HS/CN

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Úvod - Podniková informační bezpečnost PS1-2

Řízení rizik ICT účelně a prakticky?

Technologie pro budování bezpe nosti IS technická opat ení.

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

Cvičení 1,2 Osnova studie strategie ICT

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

ANALÝZA RIZIK CLOUDOVÉHO ŘEŠENÍ Z POHLEDU UŽIVATELE. Václav Žid

Procesní řízení operačních sálů Mgr. Martin Gažar

Penetrační testy OSSTMM. Jaromír Vaněk ICQ: Jabber:

Obecné nařízení o ochraně osobních údajů

České Budějovice. 2. dubna 2014

Dopady zákona o kybernetické bezpečnosti (ZKB) Jan Mareš

Semestrální práce z předmětu 4IT421 Téma: CMMI-DEV v.1.3 PA Project Monitoring and Control

Projektové řízení. Lenka Švecová, Tomáš Říčka. University of Economics, Prague. Project management for SMEs/NGOs - exchange of experience for trainers

Nasazení bezpečnostního monitoringu v praxi. Jan Svoboda AEC

Hodnocení úrovně bezpečnostních dopadů a zařazování do bezpečnostních úrovní egc

Zákon o kybernetické bezpečnosti

Ukazka knihy z internetoveho knihkupectvi

MFF UK Praha, 29. duben 2008

Věstník ČNB částka 18/2010 ze dne 21. prosince ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010

Úvod - Podniková informační bezpečnost PS1-1

ČESKÁ TECHNICKÁ NORMA

Profesionální a bezpečný úřad Kraje Vysočina

Bezepečnost IS v organizaci

Mib:S4Road přechod k SAP S/4HANA. Jiří Palát

METODIKA PROVÁDĚNÍ AUDITU COBIT

Risk Management. Překlad a interpretace pro české prostředí

Penetrační testování

Kybernalita kriminalita v kybernetickém prostředí

Program Technické podpory SODATSW spol. s r.o.

Konsolidace v datacentru. Miroslav Kotrle, Ph.D. CONVENIO CONSULTING

Microsoft Services Premier Support. Implementace Zákona o kybernetické bezpečnosti

Security Management. Přednáška pro ISE 21. března Marek Rychlý (a Ivana Burgetová)

Transkript:

Životní cyklus rizik - identifikace. Ing. Zdeněk Blažek, CSc. CISM. COMMERZBANK AG Jh. Katedra počítačových systémů Fakulta informačních technologiíí České vysoké učení technické v Praze Zdeněk Blažek, 2011 Řízení rizik v informatice LS 2010/11, Předn. 5 https://edux.fit.cvut.cz/rri Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti Ing. Zdeněk Blažek, CSc. CISM. Životní cyklus rizik - identifikace. Přednáška 5/13, 2011

Řízení rizika Klíčové komponenty analýzy rizik: Identifikujte majetek firmy Ke každé majetkové položce přiřaďte hodnotu Pro každou majetkovou položku identifikujte hrozby a zranitelnosti Stanovte riziko pro jednotlivé majetkové položky Jestliže jsou tyto kroky dokončeny, potom je možné přijmout protiopatření ke zmírnění zjištěného rizika, provést ekonomickou analýzu těchto opatření a připravit hlášení pro vedení organizace. Vedení organizace potom může: - Zmírnit/odstranit riziko zavedením protiopatření - Přijmout riziko - Vyhnout se riziku (zrušením projektu atd.) - Přenést riziko (pojistka apod.)

V zásadě je třeba si uvědomit, že žádný standard ani postupy dle něj realizované nezaručují eliminaci rizika. Riziko jako takové se v zásadě nedá odstranit (výjimka: vyhnutí se riziku tím, že např. zruším projekt.). Dá se zmenšit pravděpodobnost vzniku a snížit dopad.

4 základní fáze rizika (v této fázi se nesoustředíme na dopady) Vyhodnocení rizika (zde se soustředíme na stanovení dopadu a pravděpodobnosti) Omezení rizika (příprava odpovědi na riziko, rozhodnutí vedení) Kontrola (sledování výsledků činnosti)

Životní cyklus řízení rizik, 5/13 Kontrola Registr Rizik Vyhodnoce ní Omezení/ Eliminace

Životní cyklus řízení rizik - identifikace Kontrola Registr Rizik Vyhodnoce ní Omezení/ Eliminace

hrozeb/zranitelností popsána ve třech krocích: Výběr identifikační metody Sběr informací Dokumentace v Registru rizik Metody identifikace Výběr metody identifik ace Sběr informací Registrace v registru rizik Výstup Celý proces musí zahrnovat všechny komponenty, dokonce i ty, které nejsou pro produkci použity, ale existují např. pro zálohování, vývoj nebo testování. hrozeb a zranitelností by měla být nedílnou součástí každého projektu, vývoje apod.

jako proces rizika je proces s několika fázemi: hlavních komponent Určení priority pro analýzy jednotlivých komponent Vyhodnocení hrozeb a zranitelností Zjištění vlastníka rizika souvislostí s jinými procesy, projekty, komponentami Během identifikace musíme stále zjišťovat, zda data nebo majetek je zajištěn z hlediska Důvěrnosti - prevence před neautorizovaným přístupem k informaci Integrity - prevence před neautorizovou modifikací informace Dostupností - prevence před nautorizovaným blokováním prostředků nebo informace

Vytvořit nebo aktualizovat Registr rizik Pro dosažení tohoto cíle je potřeba následujících aktivit: Získat nebo aktualizovat informace o možných hrozbách Zvážit možnosti a jejich důsledky Seskupit rizika dle míst jejich vzniku Dle následujících ukazatelů se řídit při identifikaci Podrozdělit situaci do množin aktivit nebo produktů pomůže udržet kontrolovatelnost. I nejsložitější situace by neměla zahrnovat více než 35 produktů nebo aktivit. Vytvořit seznam možných hrozeb pro situaci jako celek. Některé hrozby jsou významnější než druhé. Identifikujte všechny hrozby. Jakákoliv neidentifikovaná hrozba může vést k rizikům, která nejsou aktivně kontrolovatelná. Zvažujte eventuality i s výhledem do budoucnosti. Pokud je zde možné i budoucí riziko, zařaďte jej do Registru rizik.

Během identifikace je důležité hledat reálná informační rizika Je mnoho různých metod a nástrojů, jak toho lze dosáhnout. Tyto metody mohou být samostatné nebo kombinované-záleží na konkrétní situaci. Nejznámější metody jsou: Brainstorming Výsledky bezpečnostních auditů Rozhovory Pracovní skupiny Zkušenosti nebo dokumentované znalosti!! Seznam rizik-minulé zkušenosti Výstupy z analýzy rizik již provedené Historické informace!! Technické postupy (šablony) Ishikavův diagram

- Ishikava diagram (příklad) Zabýváme se v zásadě tím, co způsobilo problém

Výběr metody identifikace hrozeb a zranitelností (př. IT) Výběr metody identifikace Ne Hlášení informačního rizika, vyžádání asistence. Univerzální metody -Brainstorming -Surveys -Interviews -Working Groups -Experiential Knowledge -Self Assessment Konec výběru IT kvalifikovaný personál k dispozici? Hlášení informačního rizika Ano N o Ano Metody užívající hist. dat Audit Findings Security Reports Documented Knowledge Risk trigger Questions Existuje Dokumentace? Ano Existuje hist. Dokumentace? Ne Sestavení informací Informačního rizika Další kroky při identifikaci informačních rizik Metody užívající současných dat Risk List Risk Oriented Analysis Engineering Templates Critical Components Review Change Management Hlášení výsledků Pozn. Documentace = audity, logy, inventář, síťový diagram, data o incidentech, zprávy atd.

Zdroje Vlastník služby/projektu Vnitřní audit Sebehodnocení Proces porovnání s bezpečnostními normami jako např. ISO 17799/ 2700x Vyhodnocení bezpečnostní situace Změnové řízení Seznam kritických aplikací/procesů Externí audit Správa majetku Správa incidentů Správa problémů Seznam projektů a jejich případných rizik Účetnictví Zápisy z porad vedení...

Threat Type Threat category Additional / supplementary information Vulnerability Unforseen Effects of Change Category Unforeseen effect of changes to software Unforeseen Effects Of Change Adverse or unwanted system results from newly implemented or recently changed software. X Unforeseen effect of changes to computer / communications equipment Unforeseen Effects Of Change Adverse or unwanted system results from newly implemented or recently changed computer or network hardware. X Unforeseen effects of introducing new / upgraded business processes Unforeseen Effects Of Change Adverse or damaging impact upon information and/or systems from the introduction of new/upgraded business processes. X Unforeseen effect of changes to business information Unforeseen Effects Of Change Adverse or damaging impact upon systems and/or information from changes made to business information (eg customer lists, product designs and other intellectual property). X Unforeseen effects of organisational changes Unforeseen Effects Of Change Adverse or damaging impact upon systems and/or information from organisational changes (eg as a result of mergers, acquisitions, outsourcing or internal reorganisation). X Unforeseen effects of changes to user processes or facilities Unforeseen Effects Of Change Adverse or damaging impact upon systems and/or information from the changes to user processes or facilities (eg user/operating procedures, staffing or accommodation). X

Dotazy Životní cyklus rizik, 5/13

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář