Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Podobné dokumenty
Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Vzorové analýzy rizik zpracování v cloudu. Zdeněk Jiříček National Technology Officer Microsoft ČR

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Zákon o kybernetické bezpečnosti

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Posuzování na základě rizika

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

Bezpečnostní politika společnosti synlab czech s.r.o.

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI. JUDr. Mgr. Barbora Vlachová judr.vlachova@ .cz

Bezpečnost aplikací Standardy ICT MPSV

V Brně dne 10. a

Zákon o kybernetické bezpečnosti

V Brně dne a

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.

Řízení rizik ICT účelně a prakticky?

Od teorie k praxi víceúrovňové bezpečnosti

Bezepečnost IS v organizaci

Bezpečnostní opatření pro některé z oblastí kritické infrastruktury. Vladimír ROHEL

ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ

Návrh VYHLÁŠKA. ze dne 2014

o Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

Implementace systému ISMS

316/2014 Sb. VYHLÁŠKA ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

b) aktivem primární aktivum a podpůrné aktivum, c) primárním aktivem informace nebo služba, kterou zpracovává nebo poskytuje informační systém

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

egrc řešení - nástroj pro efektivní řízení bezpečnosti dle kybernetického zákona Marian Němec AEC a.s.

Bezpečnost na internetu. přednáška

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Novela zákona o kybernetické bezpečnosti Směrnice NIS. Jan Zahradníček

Informační bezpečnost. Dana Pochmanová, Boris Šimák

GDPR & Cloud. Mgr. Jana Pattynová, LL.M

SBÍRKA ZÁKONŮ. Ročník 2014 ČESKÁ REPUBLIKA. Částka 127 Rozeslána dne 19. prosince 2014 Cena Kč 109, O B S A H :

ISVS v cloudu? ANO! Ing. Václav Koudele, Ing. Zdeněk Jiříček

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

Příloha Vyhlášky č.9/2011

Technologie pro budování bezpe nosti IS technická opat ení.

VÝBĚR CLOUDU, ANEB JAK ZVOLIT TEN NEJLEPŠÍ

Microsoft Services Premier Support. Implementace Zákona o kybernetické bezpečnosti

Návrh VYHLÁŠKA. ze dne 2014

PREZENTACE PRO ŽADATELE K 10. VÝZVĚ IROP KYBERNETICKÁ BEZPEČNOST BRNO Ing. Andrea Jonštová, konzultace dotačních programů

Kybernetická bezpečnost III. Technická opatření

Úvod - Podniková informační bezpečnost PS1-2

Profesionální a bezpečný úřad Kraje Vysočina

SBÍRKA ZÁKONŮ. Ročník 2018 ČESKÁ REPUBLIKA. Částka 43 Rozeslána dne 28. května 2018 Cena Kč 106, O B S A H :

Management přepravy nebezpečných věcí na evropské a národní úrovni ve vztahu k systému krizového řízení ČR

Protecting Data in Microsoft Online Services. Studie zpracovaná na základě poptávky Microsoft s.r.o. Zakázka: MICR Verze: 2.

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi října 2011 r

Zákon o kybernetické bezpečnosti Obecný přehled ZKB se zaměřením na technická opatření

RENOMIA POJIŠTĚNÍ KYBERNETICKÝCH RIZIK

Nabídka kurzů k systému řízení bezpečnosti informací (ISMS) ČSN ISO/IEC 27001:2014

Budoucnost dispečerských řídicích systémů.

Označení: Počet listů: 5 Verze: 1.0 SMĚRNICE ISMS. Název: Pravidla pro uživatele IT systémů. Vytvořil: Schválil: Účinnost od:

Hodnocení rizik v resortu Ministerstva obrany

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Dodatek č. 1 Detailního návrhu technického řešení informačních systémů e- Sbírka a e-legislativa

Řízení rizik z pohledu bezpečnosti

Strana 1 / /2014 Sb. VYHLÁKA ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ

ISMS. Síťová bezpečnost. V Brně dne 7. a 14. listopadu 2013

Implementace ZKB. Ing. Miroslav Jaroš. Energetický regulační úřad.

ÚVOD DO GDPR. Mgr. Jana Pattynová, LL.M

PRIVACY POLICY. Issued / vydáno dne: Written by / vypracoval: Mgr. Michaela Škrabalová. Revised by / revidoval: ---

Zkušenosti z nasazení a provozu systémů SIEM

VYHLÁŠKA. ze dne 21. května 2018,

Hodnocení úrovně bezpečnostních dopadů a zařazování do bezpečnostních úrovní egc

Nejbezpečnější prostředí pro vaše data

Státní pokladna. Centrum sdílených služeb

Bezpečná výměna souborů mezi vnitřní a vnější sítí organizace. Autor: Martin Hanzal, CTO SODATSW spol. s r. o., Horní 32, Brno, Czech Republic

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

Představení služeb DC SPCSS Státní pokladna Centrum sdílených služeb

PŘÍLOHA C Požadavky na Dokumentaci

egc tým Bezpečnost Hodnocení dopadů a zařazování do bezp. úrovní Závazná bezpečnostní opatření pro dodavatele

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

Technická opatření dle zákona o kybernetické bezpečnosti verze 1.0

RENOMIA POJIŠTĚNÍ KYBERNETICKÝCH RIZIK

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

srpen 2008 Ing. Jan Káda

NÁVRH ZÁKONA o KYBERNETICKÉ BEZPEČNOSTI. JUDr. Radomír Valica ředitel odboru právního a legislativního NBÚ 3. října 2013, Praha

Bezpečnostní politika

Kybernetická bezpečnost

PROVOZOVÁNÍ PRIVATE CLOUD VE VEŘEJNÉ SPRÁVĚ

Security Expert Center (SEC)

GENERÁLNÍ ŘEDITELSTVÍ CEL

Výzva k podání nabídek na veřejnou zakázku malého rozsahu na dodávky

Bezpečnostní politika a dokumentace

Seminář CyberSecurity II

Zkušenosti s budováním základního registru obyvatel

Směrnice upravující eliminaci rizik při správě osobních údajů technicko-organizační opatření

Zákon o kybernetické bezpečnosti na startovní čáře

do Českého zdravotnictví Michal Koščík Definujte zápatí - název prezentace / pracoviště 1

OCTAVE ÚVOD DO METODIKY OCTAVE

Virtualizace jako nástroj snížení nákladů. Periodické opakování nákladů nové verze Licence na pevný počet klientů

Bezpečností politiky a pravidla

Transkript:

Zbytková rizika Typ aktiv Aktivum Hrozba Zranitelnost Částečná úroveň rizika Snížení hrozby Snížení zranit. Zbytkové Namapovaná opatření Riziko C I A T MAX Hodnota MAX Hodnota riziko ISO? specif.? Datová aktiva Uložená data Zneužití práv (neoprávněná akce obsluhy) Zneužití oprávnění pracovníky správce 3 4 2 3 8 2 2 4 4 8 Uložená data Zneužití práv (neoprávněná akce obsluhy) Zneužití oprávnění pracovníky poskytovatele 3 4 2 3 8 2 2 4 1 5 X Uložená data Nesprávné řízení bezpečnosti Nesprávné vyhodnocení SLA 3 4 2 3 7 1 1 4 4 7 Uložená data Nesprávné řízení bezpečnosti Regulatorní nesoulad způsobený poskytovatelem 3 4 2 3 7 1 1 4 2 5 X Služby Služba SharePoint Online Neoprávněný přístup k aktivu interními pracovníky nebo dodavateli služeb Zneužití přístupových údajů a klíčů 3 4 2 9 3 2 4 1 5 X Služba SharePoint Online Neoprávněný přístup k aktivu cizími osobami Zneužití přístupových údajů a klíčů (útok hackerů) 3 4 2 10 4 2 4 1 5 X Služba SharePoint Online Zneužití systémových zdrojů Obecná zranitelnost u správce 3 4 2 7 1 1 4 4 7 Služba SharePoint Online Zavedení škodlivého software Obecná zranitelnost ze strany správce 3 4 2 9 3 2 4 1 5 X Služba SharePoint Online Popření Obecná zranitelnost 3 4 2 8 2 1 4 2 5 X Služba SharePoint Online Napadení komunikace Obecná zranitelnost 3 4 2 8 2 2 4 1 5 X Služba SharePoint Online Přerušení komunikace Obecná zranitelnost 2 6 2 2 4 3 5 X Služba SharePoint Online Kybernetický útok z komunikační sítě Obecná zranitelnost (útok hackerů) 3 4 2 10 4 2 4 1 5 X Služba SharePoint Online Selhání hardware nebo média Obecná zranitelnost u poskytovatele 4 2 8 2 1 4 1 4 X Služba SharePoint Online Selhání software Obecná zranitelnost u poskytovatele 3 4 2 8 2 1 4 1 4 X Služba SharePoint Online Selhání podpory prostředí (vč. přírodních katastrof) Obecná zranitelnost u poskytovatele 2 6 2 1 4 1 2 X Služba SharePoint Online Selhání údržby Obecná zranitelnost u poskytovatele 3 4 2 8 2 1 4 1 4 X Služba SharePoint Online Chyba uživatele Obecná zranitelnost u správce 3 4 2 8 2 2 4 3 7 X Služba SharePoint Online Prozrazení informaci z vyřazené komponenty nebo média Obecná zranitelnost 3 7 2 1 4 2 4 X Služba SharePoint Online Úmyslné poškození interními pracovníky Obecná zranitelnost (vandalismus) 2 5 1 1 4 2 3 X Služba SharePoint Online Úmyslné poškození externími pracovníky Obecná zranitelnost 2 5 1 1 4 1 2 X Služba SharePoint Online Nesprávné řízení bezpečnosti Obecná zranitelnost u poskytovatele 3 4 2 8 2 1 4 1 4 X Služba Azure AD Neoprávněný přístup k aktivu interními pracovníky nebo dodavateli služeb Zneužití přístupových údajů a klíčů 2 4 2 9 3 2 4 1 5 X Služba Azure AD Neoprávněný přístup k aktivu cizími osobami Zneužití přístupových údajů a klíčů (útok hackerů) 2 4 2 10 4 2 4 1 5 X Služba Azure AD Popření Obecná zranitelnost 2 4 2 8 2 1 4 2 5 X Služba Azure AD Napadení komunikace Obecná zranitelnost 2 4 2 8 2 2 4 1 5 X Služba Azure AD Přerušení komunikace Obecná zranitelnost 2 6 2 2 4 3 5 X Služba Azure AD Kybernetický útok z komunikační sítě Obecná zranitelnost (útok hackerů) 2 4 2 10 4 2 4 1 5 X Služba Azure AD Selhání hardware nebo média Obecná zranitelnost u poskytovatele 4 2 8 2 1 4 1 4 X Služba Azure AD Selhání software Obecná zranitelnost u poskytovatele 2 4 2 8 2 1 4 1 4 X Služba Azure AD Selhání podpory prostředí (vč. přírodních katastrof) Obecná zranitelnost u poskytovatele 2 6 2 1 4 1 2 X Služba Azure AD Selhání údržby Obecná zranitelnost u poskytovatele 2 4 2 8 2 1 4 1 4 X Služba Azure AD Chyba uživatele Obecná zranitelnost u správce 2 4 2 8 2 2 4 3 7 X Služba Azure AD Prozrazení informaci z vyřazené komponenty nebo média Obecná zranitelnost 2 6 2 1 4 1 2 X Služba Azure AD Úmyslné poškození interními pracovníky Obecná zranitelnost (vandalismus) 2 5 1 1 4 2 3 X Služba Azure AD Úmyslné poškození externími pracovníky Obecná zranitelnost 2 5 1 1 4 1 2 X Služba Azure AD Nesprávné řízení bezpečnosti Obecná zranitelnost u poskytovatele 2 4 2 8 2 1 4 1 4 X Software Hardware a média Lokality Personál

Pokrytí rizik opatřeními V následující tabulce jsou uvedena všechna rizika a pro každé riziko jsou uvedena všechna opatření, která byla vybrána pro jeho snižování. Typ Inheren. Zbytk. Riziko (zkratka rizika) aktiv riziko riziko Vybraná opatření pro zvládání rizika Datová aktiva Uložená data / Zneužití práv / Zneužití interní 8 8 Uložená data / Zneužití práv / Zneužití externí 8 5 I-4-0 Organizační bezpečnost I-9-0 Řízení přístupu osob Uložená data / Nespr. řízení bezp. / Vyhodnocení SLA 7 7 Uložená data / Nespr. řízení bezp. / Regulatorní nesoulad 7 5, body 6, 7, 8 a 10 Služby SharePoint Online / Neopráv. přístup intern. prac. / Obecná 9 5 I-9-0 Řízení přístupu osob SharePoint Online / Neopráv. přístup ext. prac. / Obecná 10 5 SharePoint Online / Zneužití zdrojů / Obecná 7 7 SharePoint Online / Škodlivý SW / Obecná 9 5 II-5-0 Nástroj pro ochranu před škodlivým kódem SharePoint Online / Popření / Obecná 8 5 SharePoint Online / Napadení komun. / Obecná 8 5 SharePoint Online / Přeruš. komun. / Obecná 6 5 SharePoint Online / Kyber. útok / Obecná 10 5 II-7-0 Nástroj pro detekci kybernetických bezpečnostních událostí II-9-0 Aplikační bezpečnost SharePoint Online / Selh. HW / Obecná 8 4 SharePoint Online / Selh. SW / Obecná 8 4

SharePoint Online / Selh. podpory / Obecná 6 2 SharePoint Online / Selh. údržby / Obecná 8 4 SharePoint Online / Chyba uživatele / Obecná 8 7 SharePoint Online / Prozr. inf. z média / Obecná 7 4 I-6-0 Řízení aktiv SharePoint Online / Poškození int. prac. / Obecná 5 3 SharePoint Online / Poškození ext. prac. / Obecná 5 2 I-9-0 Řízení přístupu osob SharePoint Online / Nespr. řízení bezp. / Obecná 8 4 I-1-0 Systém řízení bezpečnosti informací I-2-0 Řízení rizik I-3-0 Bezpečnostní politika I-6-0 Řízení aktiv Azure AD / Neopráv. přístup intern. prac. / Obecná 9 5 I-9-0 Řízení přístupu osob Azure AD / Neopráv. přístup ext. prac. / Obecná 10 5 Azure AD / Popření / Obecná 8 5 Azure AD / Napadení komun. / Obecná 8 5 Azure AD / Přeruš. komun. / Obecná 6 5 Azure AD / Kyber. útok / Obecná 10 5 II-7-0 Nástroj pro detekci kybernetických bezpečnostních událostí

II-9-0 Aplikační bezpečnost Azure AD / Selh. HW / Obecná 8 4 Azure AD / Selh. SW / Obecná 8 4 Azure AD / Selh. podpory / Obecná 6 2 Azure AD / Selh. údržby / Obecná 8 4 Azure AD / Chyba uživatele / Obecná 8 7 Azure AD / Prozr. inf. z média / Obecná 6 2 I-6-0 Řízení aktiv Azure AD / Poškození int. prac. / Obecná 5 3 Azure AD / Poškození ext. prac. / Obecná 5 2 I-9-0 Řízení přístupu osob Azure AD / Nespr. řízení bezp. / Obecná 8 4 I-1-0 Systém řízení bezpečnosti informací I-2-0 Řízení rizik I-3-0 Bezpečnostní politika I-6-0 Řízení aktiv Software Hardware a média Lokality Personál

Poznámky k analýze rizik Uplatnění ohodnocení aktiv Přiřazení hrozby k aktivu mj. definuje, které ohodnocení aktiva (podle důvěrnosti, integrity, dostupnosti a úplné ztráty) je následně při výpočtu rizika použito. Vždy je použita nejvyšší hodnota z hodnocení daného aktiva relevantního k dané hrozbě. Například v případě hrozby "Technické selhání hostitelského počítače, úložiště nebo síťové infrastruktury" není u příslušných aktiv zohledňováno ohodnocení z pohledu důvěrnosti, která většinou není touto hrozbou narušena, ale je použito maximální ohodnocení aktiva z pohledu integrity, dostupnosti a úplné ztráty. Použití inherentních rizik U inherentních rizik nejsou brána do úvahy žádná existující bezpečnostní opatření a proto je zranitelnost vždy nastavena na hodnotu 4 (Kritická). Jedná se tedy o teoretickou maximální hodnotu rizika uváděnou zejména za účelem porovnání s výslednou úrovní zbytkového rizika po implementaci opatření. Výpočet inherentních rizik Pro výpočet inherentních rizik je použit "vzorec" riziko = dopad (prostřednictvím hodnoty aktiva) + hrozba + zranitelnost - 2 Výpočet zbytkových (reziduálních) rizik Pro výpočet zbytkových rizik je použit stejný "vzorec" riziko = dopad (prostřednictvím hodnoty aktiva) + hrozba + zranitelnost - 2 s tím rozdílem, že v důsledku implementace opatření jsou upraveny (sníženy) hodnoty hrozby a zranitelnosti.

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář