V Brně dne 10. a

Podobné dokumenty
V Brně dne a

Bezepečnost IS v organizaci

ČESKÁ TECHNICKÁ NORMA

Management informační bezpečnosti

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

ČESKÁ TECHNICKÁ NORMA

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Implementace systému ISMS

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Efektivní řízení rizik ISMS. Luděk Novák, Petr Svojanovský ANECT a.s.

Hodnocení rizik v resortu Ministerstva obrany

Řízení rizik. RNDr. Igor Čermák, CSc.

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.

Řízení informační bezpečnosti a veřejná správa

Management rizik. Základní pojmy. Vzájemné vztahy při správě. Obecný postup analýzy rizik. Část identifikující rizika - analýza rizik

Co je riziko? Řízení rizik v MHMP

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi října 2011 r

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Z K B V P R O S T Ř E D Í

Státní pokladna. Centrum sdílených služeb

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

Případová studie. Zavedení ISMS dle standardu Mastercard

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

srpen 2008 Ing. Jan Káda

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

Bezpečnostní politika a dokumentace

NEPŘIMĚŘENÉ NÁKLADY. vysvětlení pojmu

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

OCTAVE ÚVOD DO METODIKY OCTAVE

Řízení rizik ICT účelně a prakticky?

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Posuzování na základě rizika

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

Informatika / bezpečnost

Bezpečnost na internetu. přednáška

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

REGISTR RIZIK REGISTR RIZIK - STAVBA BOURACÍ PRÁCE. společnost: Zpracoval: Podpis: Datum: Schválil: Podpis: Datum:

Bezpečnostní politika společnosti synlab czech s.r.o.

Bezpečnost IS. Základní bezpečnostní cíle

ČESKÁ TECHNICKÁ NORMA

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

Systém řízení bezpečnosti informací v praxi

O autorech Úvodní slovo recenzenta Předmluva Redakční poznámka... 18

Řízení rizik z pohledu bezpečnosti

Sem vložte zadání Vaší práce.

Projektové řízení a rizika v projektech

Řízení rizik ÚLD FNKV. Škrla, Škrlová, Řízení rizik ve zdravotnických zařízeních, 2008

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Kybernetická bezpečnost

GDPR SNADNO.info. Ing. Lukáš Přibyl, předseda NSMC Network Security Monitoring Cluster

Inovace bakalářského studijního oboru Aplikovaná chemie

Modelování hrozeb. Hana Vystavělová AEC, spol. s r.o.

Bezpečnostní aspekty informačních a komunikačních systémů KS2

ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ

Metodika zajištění ochrany kritické infrastruktury v oblasti výroby, přenosu a distribuce elektrické energie

Od teorie k praxi víceúrovňové bezpečnosti

Informační bezpečnost. Dana Pochmanová, Boris Šimák

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad

BEZPEČNOST ICT. Marek Chlup

Zákon o kybernetické bezpečnosti

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

Návrh VYHLÁŠKA. ze dne 2014

1. KURZ č. 1 - QMS - Školení a výklad normy ČSN EN ISO 9001: KURZ č. 2 - QMS - Školení interních auditorů QMS a metrologa

b) aktivem primární aktivum a podpůrné aktivum, c) primárním aktivem informace nebo služba, kterou zpracovává nebo poskytuje informační systém

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

Zákon o kybernetické bezpečnosti

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

Dopady GDPR na elektronizaci zdravotnictví

Kybernetická bezpečnost resortu MV

Bezpečnostní politika společnosti synlab czech s.r.o.

Business impact analýza a zvládání rizik spojených s provozem nedůvěryhodných zařízení BVS. František Sobotka NOVICOM s.r.o

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

Hodnocení úrovně bezpečnostních dopadů a zařazování do bezpečnostních úrovní egc

Implementace řízení strategických a kybernetických rizik v Pražská teplárenské s podporou SW nástroje Risk management tool

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Ing. David Řehák, Ph.D. Katalog rizik: softwarový nástroj pro podporu řízení rizik v rezortu obrany

BEZPEČNOSTNÍ ROLE. a jejich začlenění v organizaci

Management bezpečnosti informací dle ISO 27001:2006. Zkušenosti se zaváděním ve společnosti SYSCOM SOFTWARE s.r.o.

316/2014 Sb. VYHLÁŠKA ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ

Návrh VYHLÁŠKA. ze dne 2014

Informa ní bezpe nost I Management bezpe nosti informa ních systém - ISMS. michal.slama@opava.cz

Microsoft Services Premier Support. Implementace Zákona o kybernetické bezpečnosti

Kybernetická bezpečnost MV

Dnešní téma se vztahuje k problematice souboru postupů pro management bezpečnosti informací hodnocení rizik bezpečnosti informací.

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

SYSTÉMOVÉ ŘEŠENÍ INFORMAČNÍ BEZPEČNOSTI PODNIKU

Datové schránky. únor Jana Kratinová SIKS a.s.

Odborná skupina pro spolehlivost. Použití ordinálních a semikvantitativních postupů ve spolehlivosti. Jaroslav Zajíček

o Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná

Procesy a management rizik ve zdravotnické laboratoři. Ing. Alena Fischerová Systémy jakosti s.r.o

Systém řízení informační bezpečnosti (ISMS)

Systém řízení informační bezpečnosti Information security management systém

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ BRNO UNIVERSITY OF TECHNOLOGY

Protecting Data in Microsoft Online Services. Studie zpracovaná na základě poptávky Microsoft s.r.o. Zakázka: MICR Verze: 2.

ORGANIZAČNÍ SMĚRNICE. Analýza rizik. Příloha č 4 Směrnice k analýze rizik. Název:

Transkript:

Analýza rizik V Brně dne 10. a 17.10.2013

Ohodnocení aktiv 1. identifikace aktiv včetně jeho vlastníka 2. nástroje k ohodnocení aktiv SW prostředky k hodnocení aktiv (např. CRAMM metodika CCTA Risk Analysis and Management Method) CCTA organizace, která metodiku vyvinula v roce 1985 3. stanovení stupnice a hodnotících kritérií, např.: bezvýznamné riziko akceptovatelné riziko nízké riziko nežádoucí riziko nepřijatelné riziko 4. hodnocení nákladů vdůsledků porušení (3 základní kritéria) - důvěrnosti - integrity - dostupnosti Stanovené hodnoty slouží jako základ pro analýzu rizik!!! Aktiva v ISMS 2

Normativní podpora Následuje analýza rizik například dle ČSN ISO/IEC 27005: Informační technologie - Bezpečnostní techniky - Řízení rizik bezpečnosti informací platná od roku 2009, dříve ČSN ISO/IEC TR 13335-3: Informační technologie - Směrnice pro řízení bezpečnosti IT - Část 3: Techniky pro řízení íbezpečnosti č IT Normy 3

Analýza rizik Identifikuje zranitelná místa Definuje seznam působících hrozeb Stanovuje rizika příslušná ke každému zranitelnému místu a hrozbě Účelem je snížení rizik na přijatelnou úroveň formou opatření Identifikace a popis existujících nebo plánovaných bezpečnostních opatření! Odhad d rizik ik (vychází z tabulky identifikovaných hrozeb a souvisejících í zranitelností) Přijetí rizik (zbytková rizika) Politika bezpečnosti IS Příručka ISMS (Plán bezpečnosti IT) Analýza rizik 4

Odhad rizika Prvotní (orientační) odhad rizika bývá nastaven podle statistického výskytu incidentů v podobě tabulky. Tabulka definuje takzvané orientační riziko. Orientační riziko = pravděpodobnost incidentu x velikost dopadu Tabulka obsahuje: Incident Pravděpodobnost incidentu Velikost dopadu Orientační riziko Podle tohoto odhadu jsou nasazeny (nad základní přístup a opatření uvedená v příručce ISMS) konkrétní a specifická opatření (např. pro technologické místnosti, nadstandardní poskytované služby a podobně) dle činnosti organizace. Riziko naplnění hrozeb u konkrétního aktiva se stanovuje, jako číselné vyjádření toho, že nastane bezpečnostní incident vyvolaný některou (alespoň jednou) z nejpravděpodobnějších hrozeb působících na aktivum. Analýza rizik 5

Analýza rizik s různým počtem parametrů 2 parametry A. metoda se dvěma parametry 1. vyhodnocení pravděpodobnosti incidentu a jeho dopadu (pouze 2 parametry PI pravděpodobnost incidentu a D dopad) 2. výpočet č míry rizika ik R podle vztahu R = PI x D P - Pravděpodobnost vzniku a existence rizika 1) Nahodilá 2) Nepravděpodobná 3) Pravděpodobná 4) Velmi pravděpodobná 5) Trvalá Analýza rizik 6

Analýza rizik s různým počtem parametrů 3 parametry B. metoda se třemi parametry 1. vyhotovení matice zranitelnosti ti (hodnota aktiva A v závislosti na pravděpodobnosti hrozby T) 2. výpočet míry rizika R podle vztahu R = T x A x V, kde V je zranitelnost 3. vyhotovení matice rizik z vypočtených hodnot (hodnota aktiva A v závislosti na pravděpodobnosti hrozby T) 4. stanovení hranic pro různé stupně rizika R - Míra rizika 1) 0-10: Bezvýznamné riziko 2) 11-20: Akceptovatelné riziko 3) 21-30: Mírné riziko 4) 31-60: Nežádoucí riziko 5) 61-120: Nepřijatelné riziko Analýza rizik 7

Metodiky AR Analýza rizik se rozděluje: - Analýza rizik - hrubá úroveň (určení kritických systémů pro detailní AR) - Analýza rizik - neformální přístup (pragmatická AR) - Analýza rizik - kombinovaný přístup (nejprve hrubá, pak detailní) - Analýza rizik - podrobný přístup (detailní) Doporučuje se použít kombinaci metod pragmatické (neformální) a detailní analýzy rizik. Nejprve je provedena počáteční analýza rizik na hrubé úrovni pro všechny systémy IT. U systémů, které budou identifikovány jako významné pro činnost organizace, případně vystavené vysokým rizikům, provádíme podrobnou analýzu rizik. Analýza rizik 8

Fáze AR 1. fáze analýzy rizik - hodnocení datových aktiv, programová (SW) a fyzická (HW) aktiva (hodnocení např. dle pořizovacích nákladů) 2. fáze analýzy rizik - hodnocení hrozeb a zranitelností, hodnocení hrozeb a zranitelností společně s oceněním aktiv z fáze 1 dovoluje stanovit míru rizik (výpočet míry rizika) systému 3. fáze analýzy rizik - na základě výpočtu míry rizika se následně určí vhodná opatření, rozdělení doporučených opatření podle oblastí bezpečnosti na: - IT bezpečnost - Komunikační bezpečnost - Personální bezpečnost - Administrativní bezpečnost - Fyzická bezpečnost AR 9

Řízení rizik Cílem řízení rizik (Risk Management) je identifikace a kvantifikace rizik, kterým je třeba čelit a poté vhodným způsobem rozhodnout o zvládnutí těchto rizik. Fáze řízení rizik: - Stanovení kontextu - je fáze vymezující oblasti řízení rizik - Analýza rizik (Risk Analysis) - je fáze identifikace a kvantifikace aktiv, hrozeb a zranitelností a stanovení míry rizika - Vyhodnocení rizika (Risk Evaluation) - je fáze prioritizace rizik a výběru optimálních opatření ke snížení rizika - Zvládání rizik (Risk Treatment) - je závěrečná fáze rozhodování o vhodném způsobu zvládání rizik (retence, redukce, transfer, pojištění, sdílení a vyhnutí se riziku) AR 10

Opatření Základní rozlišení bezpečnostních opatření na typy: - preventivní - detekce a reakce - podpůrná Bezpečnostní opatření IS se dělí na oblasti: - řízení a správa bezpečnosti - technologická bezpečnost - bezpečnost provozního prostředí Výběr opatření dle metodik - CRAMM (databáze opatření) expert, express - dle ČSN ISO/IEC 27002 (A.5 až A.15) Opatření 11

Technologická bezpečnostní opatření Uživatel nebo proces Autentizace Autorizace Šifrování transakcí Nepopiratelnost Audit Preventivní Detekce, reakce Podpůrná Vynucení řízení přístupu Detekce průniků a jejich zvládnutí Kontrola celistvosti Obnovení bezpečného stavu Zdroj informací Chráněné komunikace Identifikace a pojmenování Správa šifrovacích klíčů Administrace bezpečnosti Systémová ochrana Opatření 12

ČSN ISO/IEC 27002 ISMS vychází z katalogu nejlepších praktik komerčních organizací, který je obsažen v normě ISO/IEC 27002 (dříve ISO/IEC 17799) a definuje oblasti bezpečnosti informací. Doporučení normy obsahuje 133 bezpečnostních opatření rozdělených do 11 oblastí: A.5 Bezpečnostní politika A.6 Organizace bezpečnosti A7Řízení A.7 aktiv A.8 Bezpečnost lidských zdrojů A.9 Fyzická bezpečnost a bezpečnost prostředí A.10 Řízení komunikací a řízení provozu A.11 Řízení přístupu A12Ak A.12 Akvizice, i vývoj a údžb údržba IS A.13 Zvládání bezpečnostních incidentů A.14 Řízení kontinuity činností organizace A.15 Soulad s požadavky Opatření 13

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář