Organizace a řízení rizik. Ing. Zdeněk Blažek, Sc. ISM. OMMERZBANK AG Jh. Katedra počítačových systémů Fakulta informačních technologiíí České vysoké učení technické v Praze Zdeněk Blažek, 2011 Řízení rizik v informatice LS 2010/11, Předn. 9 https://edux.fit.cvut.cz/rri Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti Ing. Zdeněk Blažek, Sc. ISM. Organizace a řízení rizik. Přednáška 9/13, 2011
Bezpečnostní politika IT jako součást širší platformy pro řízení rizik Účel bezpečnostní politiky Náležitosti bezpečnostní politiky IT Smysl monitorování zaměstnanců Základní podmínky pro bezpečnou organizaci Náklady na bezpečnost
Bezpečnostní politika IT jako součást širší platformy pro řízení rizik Identifikace hrozeb a zranitelností P Plan RR Registr rizik A Act Sledování rizika RR Vyhodnocení dopadu a jeho pravděpodobnosti D Do ontrol Nastavení protiopatření a jeho ev. financování ISO/IE 2700x:2006
Bezpečnostní politika IT jako součást širší platformy pro řízení rizik Politika řízení rizik PROČ Rámec řízení rizik (Součástí rámce by měla rozhodně být IT bezpečnostní politika) O Návody a průvodce pro podrobnější práci v rámci životního cyklu) JAK Detailní rozpracování např. ve vztahu k jednotlivým částem IT
Účel bezpečnostní politiky Základní rámec pro prosazování bezpečnosti IT v organizaci Požadavky na bezpečnost IT pro účely zabezpečeníčinnosti organizace v rámci zákonů a předpisů. Dokument pro zaměstnance odůvodňuje ev. restrikce
Náležitosti bezpečnostní politiky IT jakožto dokumentu Politika musíříkat hlavně PROČ se uplatňují zásady pro ochranu IT prostředků a dat organizace Vychází se z následujících bodů: Shoda s předpisy a zákony Řízení rizik Požadavky auditu Zkušeností v oboru
Náležitosti bezpečnostní politiky IT jakožto dokumentu vyšší úrovně Dopis od představenstva Obsah: Proč je politika důležitá Zodpovědnost zaměstnanců za bezpečnost Základní principy politiky Pochopení hodnoty informace Identifikace vlastníka informace Ohodnocení hrozeb a zranitelností Závazky zaměstnanců ve vztahu k informacím Shoda se zákony a předpisy Následky porušení bezpečnostních pravidel Role informační bezpečnosti a zaměstnanců pověřených její ochranou Ostatní politiky vztažené k tematu Odkazy na další podrobnější materiály (firemní návody, normy atd.) Datum, účinnosti a č. verze Zodpovědné osoby
Náležitosti bezpečnostní politiky IT- O Příklad e-mail Platnost od... dále, bez dalšího upozornění Definice: e-mail značí jakoukoliv elektronickou komunikaci uvnitř/vně organizace Působnost: regionech všichni interní i externí pracovníci ve všech Hrozby: e-mail je komunikace na stejné úrovni jako klasické způsoby. Může obsahovat informace, které mohou poškodit organizaci i/nebo nebezpečný kód, který může narušit počítačové systémy ev. bezpečnost informací
Náležitosti bezpečnostní politiky IT- O Odpovědnost pracovníků: Je povoleno posílat pouze zprávy, týkající se pracovní činnosti Je povoleno používat pouze poštovní systémy organizace Nesmí se posílat zprávy, obsahující rasistické, urážlivé nebo sexistické výroky Nesmí se posílat zprávy, obsahující video soubory Nesmí se posílat zprávy, obsahující hudební soubory Nesmí se posílat materiály organizace, označené jako důvěrné a tajné Souhlas s narušením soukromí v případě odesílaných zpráv...????
Náležitosti bezpečnostní politiky IT- O Odpovědnost organizace Poštovní schránky jsou omezeny na 250MB prostoru Odesílané zprávy jsou omezeny na 10MB Všechny zprávy jsou kontrolovány s ohledem na škodlivé kódy Standardy použité pro zpracování: ISO...
Náležitosti bezpečnostní politiky IT- JAK Příklad Posílání e-mailu E-mail se považuje za oficiální pošu organizace Zprávy musí projít kontrolou pravopisu Přílohy nesmí být větší než 10MB Nesmí se posílat spustitelný kód (programy, dávkové soubory apod.)
Bezpečnostní politika životní cyklus Vytvoření/aktualizace Podpora vedení Návaznost na ostatní politiky Zapojení odpovědných jedinců Oprava Pochopení problematických oblastí Periodická revize politik Zjištění, které politiky/předpisy nejsou praktické Rozšíření Užití existujících kanálů Nepoužívat slangu Zahrňte třetí strany Hlášení Poskytuje celkový přehled o shodě Identifikuje problémy k dalšímu vyšetření Hlášení odpovědným osobám Sledování Sběr dat o shodě Zpracování dat Analýza dat
Zásady pro bezpečnou organizaci entralizované řízení politiky Analyzujte jednotky, které představují vyšší riziko pro organizaci Ve shodě se zákony a předpisy sledujte, shodu politiky se skutečností Odměňujte správné chování a respektování politiky spíše než trestejte porušování Testujte politiky v extrémních podmínkách Podchyťte na organizační úrovni bezpečnostní politiku Berte ohled na místní zvyklosti Používejte nedvojsmyslná slova Nastavte jasné propojení mezi IT bezpečnostní politikou a systémem řízení rizik organizace
Zásady pro bezpečnou organizaci Nesmí platit: Quod licet Iovi, non licet bovi... (tedy volně: musí platit rovnost zaměstnanců před politikou... Správně: o je dovoleno bohovi, není dovoleno volovi... /kdo je bůh a kdo je vůl...???!!!
Řízení rizika Klíčové komponenty analýzy rizik: Identifikujte majetek firmy Ke každé majetkové položce přiřaďte hodnotu Pro každou majetkovou položku identifikujte hrozby a zranitelnosti Stanovte riziko pro jednotlivé majetkové položky Jestliže jsou tyto kroky dokončeny, potom je možné přijmout protiopatření ke zmírnění zjištěného rizika, provést ekonomickou analýzu těchto opatření a připravit hlášení pro vedení organizace. Vedení organizace potom může: - Zmírnit/odstranit riziko zavedením protiopatření - Přijmout riziko - Vyhnout se riziku (zrušením projektu atd.) - Přenést riziko (pojistka apod.)
Organizace řízení rizik Otázka existence firemní politiky pro danou oblast Pokud tato politika existujevytvořit RAI kartu na základě politiky a organigramu Pokud politika neexistuje-vytvořit ad hoc RAI kartu
RAI karta RAI hart Roles Determine Risk Management Allignment Responsibilities Identify internal objectives and establish risk concept Identify events associated with objectives R-Responsible, A-Accountable, -onsulted, I-Informed MB A A IO/SO R om A Dept.Hd Team Ld. R Spec I I R Assess risk associated with events R IA Evaluate and select risk responses I I A R I Prioritise and plan control activities A R I I Action and ensure funding for risk action plan A R I I Maintain and monitor risk action plan A R I
Obdoby RAI RAI-VS/VARIS Rozšířená verze RAI karty e dvěma novými rolemi: Verifies Osoba, která kontroluje, zda produkt splňuje kriteria pro přijetí, tak jak byla stanovena při popisu produktu Signs off Osoba, která ověřuje rozhodnutí V a autorizuje předání produktu. Obvykle je výhodné, aby tato osoba byla součástí A pro své následníky AIRO/RAIO Rozšířená verze RAI karty, která navíc přidává atribut O Out of the Loop, or omitted určuje osoby/oddělení, kterých se záležitost netýká RASI Rozděluje roli R na dvě: Responsible Osoba, která je odpovědná za úkol, tedy za to, že je proveden tak, jak vyžaduje osoba A Support Osoby/odd. přidělené osobě A pro splnění úkolu RAI (jiné schema) Méně rozšířená varianta-jmenuje se sice stejně, ale A v tomto případě značí Assist, tedy osobu/odd. které jsou úpřiděleny osobě R pro splnění úkolu. Má to bránit v špatném chápání termínů Responsible a Accountable.
Dotazy Organizace a řízení rizik, 9/13.