Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Podobné dokumenty
Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Vzorové analýzy rizik zpracování v cloudu. Zdeněk Jiříček National Technology Officer Microsoft ČR

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Zákon o kybernetické bezpečnosti

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI. JUDr. Mgr. Barbora Vlachová judr.vlachova@ .cz

Bezpečnostní politika společnosti synlab czech s.r.o.

Bezepečnost IS v organizaci

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

V Brně dne 10. a

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

Bezpečnostní opatření pro některé z oblastí kritické infrastruktury. Vladimír ROHEL

Bezpečnost aplikací Standardy ICT MPSV

egrc řešení - nástroj pro efektivní řízení bezpečnosti dle kybernetického zákona Marian Němec AEC a.s.

Zákon o kybernetické bezpečnosti

Posuzování na základě rizika

Návrh VYHLÁŠKA. ze dne 2014

Informační bezpečnost. Dana Pochmanová, Boris Šimák

Řízení rizik ICT účelně a prakticky?

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

V Brně dne a

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ

Od teorie k praxi víceúrovňové bezpečnosti

Implementace systému ISMS

316/2014 Sb. VYHLÁŠKA ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ

Profesionální a bezpečný úřad Kraje Vysočina

PREZENTACE PRO ŽADATELE K 10. VÝZVĚ IROP KYBERNETICKÁ BEZPEČNOST BRNO Ing. Andrea Jonštová, konzultace dotačních programů

b) aktivem primární aktivum a podpůrné aktivum, c) primárním aktivem informace nebo služba, kterou zpracovává nebo poskytuje informační systém

Implementace ZKB. Ing. Miroslav Jaroš. Energetický regulační úřad.

Technologie pro budování bezpe nosti IS technická opat ení.

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

ISVS v cloudu? ANO! Ing. Václav Koudele, Ing. Zdeněk Jiříček

Nabídka kurzů k systému řízení bezpečnosti informací (ISMS) ČSN ISO/IEC 27001:2014

o Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Bezpečnost na internetu. přednáška

Návrh VYHLÁŠKA. ze dne 2014

SBÍRKA ZÁKONŮ. Ročník 2014 ČESKÁ REPUBLIKA. Částka 127 Rozeslána dne 19. prosince 2014 Cena Kč 109, O B S A H :

Bezpečnostní politika a dokumentace

GDPR & Cloud. Mgr. Jana Pattynová, LL.M

SBÍRKA ZÁKONŮ. Ročník 2018 ČESKÁ REPUBLIKA. Částka 43 Rozeslána dne 28. května 2018 Cena Kč 106, O B S A H :

VÝBĚR CLOUDU, ANEB JAK ZVOLIT TEN NEJLEPŠÍ

Zákon o kybernetické bezpečnosti Obecný přehled ZKB se zaměřením na technická opatření

NÁVRH ZÁKONA o KYBERNETICKÉ BEZPEČNOSTI. JUDr. Radomír Valica ředitel odboru právního a legislativního NBÚ 3. října 2013, Praha

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI A NAVAZUJÍCÍ PROVÁDĚCÍ PŘEDPISY

Úvod - Podniková informační bezpečnost PS1-2

Státní pokladna. Centrum sdílených služeb

Novela zákona o kybernetické bezpečnosti Směrnice NIS. Jan Zahradníček

Microsoft Services Premier Support. Implementace Zákona o kybernetické bezpečnosti

Zkušenosti z nasazení a provozu systémů SIEM

Hodnocení rizik v resortu Ministerstva obrany

Představení služeb DC SPCSS Státní pokladna Centrum sdílených služeb

VYHLÁŠKA. ze dne 21. května 2018,

Technická opatření dle zákona o kybernetické bezpečnosti verze 1.0

Hodnocení úrovně bezpečnostních dopadů a zařazování do bezpečnostních úrovní egc

VZDĚLÁVÁNÍ V OBLASTI KYBERNETICKÉ BEZPEČNOSTI NA UNIVERZITĚ OBRANY I. ČÁST. pplk. Ing. Petr HRŮZA, Ph.D. petr.hruza@unob.cz Univerzita obrany Brno

srpen 2008 Ing. Jan Káda

Kybernetická bezpečnost III. Technická opatření

egc tým Bezpečnost Hodnocení dopadů a zařazování do bezp. úrovní Závazná bezpečnostní opatření pro dodavatele

Informatika / bezpečnost

do Českého zdravotnictví Michal Koščík Definujte zápatí - název prezentace / pracoviště 1

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

Strana 1 / /2014 Sb. VYHLÁKA ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ

Kybernetická bezpečnost

EIDAS, DIGITÁLNÍ DŮVĚRA A MODERNÍ PAPERLESS V PRAXI. Jan Tejchman Business Consultant

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Zkušenosti s budováním základního registru obyvatel

Dodatek č. 1 Detailního návrhu technického řešení informačních systémů e- Sbírka a e-legislativa

Security Expert Center (SEC)

Zákon o kybernetické bezpečnosti na startovní čáře

Certifikace pro výrobu čipové karty třetí stranou

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

Sdílené ICT služby a G-cloud v české veřejné správě. Ing. Zdeněk Jiříček, Ing. Václav Koudele

OCTAVE ÚVOD DO METODIKY OCTAVE

PŘÍLOHA C Požadavky na Dokumentaci

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

Nejbezpečnější prostředí pro vaše data

Řízení informační bezpečnosti a veřejná správa

Protecting Data in Microsoft Online Services. Studie zpracovaná na základě poptávky Microsoft s.r.o. Zakázka: MICR Verze: 2.

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi října 2011 r

Ministerstvo pro místní rozvoj České republiky oznamuje změny v 10. výzvě k předkládání žádostí o podporu. Integrovaný regionální operační program

Řízení ICT služeb na bázi katalogu služeb

Kybernetická bezpečnost

CYBER SECURITY. Ochrana zdrojů, dat a služeb.

Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu

Seminář CyberSecurity II

GENERÁLNÍ ŘEDITELSTVÍ CEL

Chytrá systémová architektura jako základ Smart Administration

NÁVRH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Tisk 81. Mgr. Jiří Malý duben 2014, PRAHA

Zkušenosti z naplňování ZKB: Audit shody se ZKB. Ing. Martin Konečný,

Bezpečností politiky a pravidla

Transkript:

Zbytková rizika Typ aktiv Aktivum Hrozba Zranitelnost Částečná úroveň rizika Snížení hrozby Snížení zranit. Zbytkové Namapovaná opatření Riziko C I A T MAX Hodnota MAX Hodnota riziko ISO? specif.? Datová aktiva Datová aktiva Zneužití práv (neoprávněná akce obsluhy) Zneužití oprávnění pracovníky správce 3 3 1 2 7 2 2 4 4 7 Datová aktiva Zneužití práv (neoprávněná akce obsluhy) Zneužití oprávnění pracovníky poskytovatele 3 3 1 2 7 2 2 4 1 4 X Datová aktiva Nesprávné řízení bezpečnosti Nesprávné vyhodnocení SLA 3 3 1 2 6 1 1 4 4 6 Datová aktiva Nesprávné řízení bezpečnosti Ztráta kontroly v důsledku akce poskytovatele 3 3 1 2 6 1 1 4 2 4 X Služby Služba Skype for Business Neoprávněný přístup k aktivu interními pracovníky nebo dodavateli služeb Zneužití přístupových údajů a klíčů 3 3 1 8 3 2 4 2 5 X Služba Skype for Business Neoprávněný přístup k aktivu cizími osobami Zneužití přístupových údajů a klíčů (útok hackerů) 3 3 1 9 4 2 4 2 5 X Služba Skype for Business Zneužití systémových zdrojů Obecná zranitelnost u správce 3 3 1 6 1 1 4 4 6 Služba Skype for Business Zavedení škodlivého software Obecná zranitelnost ze strany správce 3 3 1 8 3 2 4 2 5 X Služba Skype for Business Popření Obecná zranitelnost 3 3 1 7 2 1 4 2 4 X Služba Skype for Business Napadení komunikace Obecná zranitelnost 3 3 1 7 2 2 4 2 5 X Služba Skype for Business Přerušení komunikace Obecná zranitelnost 1 5 2 2 4 3 4 X Služba Skype for Business Kybernetický útok z komunikační sítě Obecná zranitelnost (útok hackerů) 3 3 1 9 4 2 4 1 4 X Služba Skype for Business Selhání hardware nebo média Obecná zranitelnost u poskytovatele 3 1 7 2 1 4 1 3 X Služba Skype for Business Selhání software Obecná zranitelnost u poskytovatele 3 3 1 7 2 1 4 1 3 X Služba Skype for Business Selhání podpory prostředí (vč. přírodních katastrof) Obecná zranitelnost u poskytovatele 1 5 2 1 4 1 1 X Služba Skype for Business Selhání údržby Obecná zranitelnost u poskytovatele 3 3 1 7 2 1 4 1 3 X Služba Skype for Business Chyba uživatele Obecná zranitelnost u správce 3 3 1 7 2 2 4 4 7 Služba Skype for Business Prozrazení informaci z vyřazené komponenty nebo média Obecná zranitelnost 3 7 2 1 4 2 4 X Služba Skype for Business Úmyslné poškození interními pracovníky Obecná zranitelnost (vandalismus) 1 4 1 1 4 2 2 X Služba Skype for Business Úmyslné poškození externími pracovníky Obecná zranitelnost 1 4 1 1 4 1 1 X Služba Skype for Business Nesprávné řízení bezpečnosti Obecná zranitelnost u poskytovatele 3 3 1 7 2 1 4 1 3 X Služba komunikace s externími IZavedení škodlivého software Zranitelnost u příchozí komunikace 3 3 1 8 3 2 4 1 4 X Služba komunikace s externími IPopření Obecná zranitelnost 3 3 1 7 2 1 4 2 4 X Služba komunikace s externími INapadení komunikace Zranitelnost u příchozí komunikace 3 3 1 8 3 3 4 4 8 Služba komunikace s externími INapadení komunikace Zranitelnost u odchozí komunikace 3 3 1 8 3 3 4 4 8 Služba komunikace s externími IPřerušení komunikace Obecná zranitelnost 1 5 2 2 4 3 4 X Služba komunikace s externími IKybernetický útok z komunikační sítě Obecná zranitelnost (útok hackerů) 3 3 1 9 4 2 4 1 4 X Služba komunikace s externími IChyba uživatele Zranitelnost u odchozí komunikace 3 3 1 8 3 3 4 4 8 Služba Azure AD Neoprávněný přístup k aktivu interními pracovníky nebo dodavateli služeb Zneužití přístupových údajů a klíčů 2 3 1 8 3 2 4 1 4 X Služba Azure AD Neoprávněný přístup k aktivu cizími osobami Zneužití přístupových údajů a klíčů (útok hackerů) 2 3 1 9 4 2 4 1 4 X Služba Azure AD Popření Obecná zranitelnost 2 3 1 7 2 1 4 2 4 X Služba Azure AD Napadení komunikace Obecná zranitelnost 2 3 1 7 2 2 4 1 4 X Služba Azure AD Přerušení komunikace Obecná zranitelnost 1 5 2 2 4 3 4 X Služba Azure AD Kybernetický útok z komunikační sítě Obecná zranitelnost (útok hackerů) 2 3 1 9 4 2 4 1 4 X Služba Azure AD Selhání hardware nebo média Obecná zranitelnost u poskytovatele 3 1 7 2 1 4 1 3 X Služba Azure AD Selhání software Obecná zranitelnost u poskytovatele 2 3 1 7 2 1 4 1 3 X Služba Azure AD Selhání podpory prostředí (vč. přírodních katastrof) Obecná zranitelnost u poskytovatele 1 5 2 1 4 1 1 X Služba Azure AD Selhání údržby Obecná zranitelnost u poskytovatele 2 3 1 7 2 1 4 1 3 X Služba Azure AD Chyba uživatele Obecná zranitelnost u správce 2 3 1 7 2 2 4 3 6 X Služba Azure AD Prozrazení informaci z vyřazené komponenty nebo média Obecná zranitelnost 2 6 2 1 4 1 2 X Služba Azure AD Úmyslné poškození interními pracovníky Obecná zranitelnost (vandalismus) 1 4 1 1 4 2 2 X Služba Azure AD Úmyslné poškození externími pracovníky Obecná zranitelnost 1 4 1 1 4 1 1 X Služba Azure AD Nesprávné řízení bezpečnosti Obecná zranitelnost u poskytovatele 2 3 1 7 2 1 4 1 3 X Software Hardware a média

Lokality Personál

Pokrytí rizik opatřeními V následující tabulce jsou uvedena všechna rizika a pro každé riziko jsou uvedena všechna opatření, která byla vybrána pro jeho snižování. Typ Inheren. Zbytk. Riziko (zkratka rizika) aktiv riziko riziko Vybraná opatření pro zvládání rizika Datová aktiva Uložená data / Zneužití práv / Zneužití interní 7 7 Uložená data / Zneužití práv / Zneužití externí 7 4 I-4-0 Organizační bezpečnost I-7-0 Bezpečnost lidských zdrojů I-9-0 Řízení přístupu osob I-13-0 Kontrola a audit II-10-1 Kryptografické prostředky ochrana dat v klidu) Uložená data / Nespr. řízení bezp. / Vyhodnocení SLA 6 6 Uložená data / Nespr. řízení bezp. / Ztráta kontroly 6 4, body 6, 7, 8 a 10 Služby Skype for Business / Neopráv. přístup intern. prac. / Obecná 8 5 I-9-0 Řízení přístupu osob Skype for Business / Neopráv. přístup ext. prac. / Obecná 9 5 Skype for Business / Zneužití zdrojů / Obecná 6 6 Skype for Business / Škodlivý SW / Obecná 8 5 II-5-0 Nástroj pro ochranu před škodlivým kódem Skype for Business / Popření / Obecná 7 4 Skype for Business / Napadení komun. / Obecná 7 5 Skype for Business / Přeruš. komun. / Obecná 5 4 I-11-0 Zvládání a bezpečnostních Skype for Business / Kyber. útok / Obecná 9 4 I-11-0 Zvládání a bezpečnostních II-7-0 Nástroj pro detekci kybernetických bezpečnostních událostí II-9-0 Aplikační bezpečnost Skype for Business / Selh. HW / Obecná 7 3 I-11-0 Zvládání a bezpečnostních Skype for Business / Selh. SW / Obecná 7 3 I-11-0 Zvládání a bezpečnostních Skype for Business / Selh. podpory / Obecná 5 1 I-11-0 Zvládání a bezpečnostních

Skype for Business / Selh. údržby / Obecná 7 3 I-11-0 Zvládání a bezpečnostních Skype for Business / Chyba uživatele / Obecná 7 7 Skype for Business / Prozr. inf. z média / Obecná 7 4 I-6-0 Řízení aktiv II-10-1 Kryptografické prostředky ochrana dat v klidu) Skype for Business / Poškození int. prac. / Obecná 4 2 I-7-0 Bezpečnost lidských zdrojů I-11-0 Zvládání a bezpečnostních I-13-0 Kontrola a audit Skype for Business / Poškození ext. prac. / Obecná 4 1 I-9-0 Řízení přístupu osob I-11-0 Zvládání a bezpečnostních Skype for Business / Nespr. řízení bezp. / Obecná 7 3 I-1-0 Systém řízení bezpečnosti informací I-2-0 Řízení rizik I-3-0 Bezpečnostní politika I-6-0 Řízení aktiv Kom. s ext. IS / Škodlivý SW / Obecná příchozí 8 4 II-5-0 Nástroj pro ochranu před škodlivým kódem Kom. s ext. IS / Popření / Obecná odchozí 7 4 Kom. s ext. IS / Napadení komun. / Obecná příchozí 8 8 Kom. s ext. IS / Napadení komun. / Obecná odchozí 8 8 Kom. s ext. IS / Přeruš. komun. / Obecná 5 4 I-11-0 Zvládání a bezpečnostních Kom. s ext. IS / Kyber. útok / Obecná 9 4 I-11-0 Zvládání a bezpečnostních II-7-0 Nástroj pro detekci kybernetických bezpečnostních událostí II-9-0 Aplikační bezpečnost Kom. s ext. IS / Chyba uživatele / Obecná odchozí 8 8 Azure AD / Neopráv. přístup intern. prac. / Obecná 8 4 I-9-0 Řízení přístupu osob Azure AD / Neopráv. přístup ext. prac. / Obecná 9 4

Azure AD / Popření / Obecná 7 4 Azure AD / Napadení komun. / Obecná 7 4 Azure AD / Přeruš. komun. / Obecná 5 4 I-11-0 Zvládání a bezpečnostních Azure AD / Kyber. útok / Obecná 9 4 I-11-0 Zvládání a bezpečnostních II-7-0 Nástroj pro detekci kybernetických bezpečnostních událostí II-9-0 Aplikační bezpečnost Azure AD / Selh. HW / Obecná 7 3 I-11-0 Zvládání a bezpečnostních Azure AD / Selh. SW / Obecná 7 3 I-11-0 Zvládání a bezpečnostních Azure AD / Selh. podpory / Obecná 5 1 I-11-0 Zvládání a bezpečnostních Azure AD / Selh. údržby / Obecná 7 3 I-11-0 Zvládání a bezpečnostních Azure AD / Chyba uživatele / Obecná 7 6 Azure AD / Prozr. inf. z média / Obecná 6 2 I-6-0 Řízení aktiv II-10-1 Kryptografické prostředky ochrana dat v klidu) Azure AD / Poškození int. prac. / Obecná 4 2 I-7-0 Bezpečnost lidských zdrojů I-11-0 Zvládání a bezpečnostních I-13-0 Kontrola a audit Azure AD / Poškození ext. prac. / Obecná 4 1 I-9-0 Řízení přístupu osob I-11-0 Zvládání a bezpečnostních Azure AD / Nespr. řízení bezp. / Obecná 7 3 I-1-0 Systém řízení bezpečnosti informací I-2-0 Řízení rizik I-3-0 Bezpečnostní politika

Software Hardware a média Lokality Personál I-6-0 Řízení aktiv

Poznámky k analýze rizik Uplatnění ohodnocení aktiv Přiřazení hrozby k aktivu mj. definuje, které ohodnocení aktiva (podle důvěrnosti, integrity, dostupnosti a úplné ztráty) je následně při výpočtu rizika použito. Vždy je použita nejvyšší hodnota z hodnocení daného aktiva relevantního k dané hrozbě. Například v případě hrozby "Technické selhání hostitelského počítače, úložiště nebo síťové infrastruktury" není u příslušných aktiv zohledňováno ohodnocení z pohledu důvěrnosti, která většinou není touto hrozbou narušena, ale je použito maximální ohodnocení aktiva z pohledu integrity, dostupnosti a úplné ztráty. Použití inherentních rizik U inherentních rizik nejsou brána do úvahy žádná existující bezpečnostní opatření a proto je zranitelnost vždy nastavena na hodnotu 4 (Kritická). Jedná se tedy o teoretickou maximální hodnotu rizika uváděnou zejména za účelem porovnání s výslednou úrovní zbytkového rizika po implementaci opatření. Výpočet inherentních rizik Pro výpočet inherentních rizik je použit "vzorec" riziko = dopad (prostřednictvím hodnoty aktiva) + hrozba + zranitelnost - 2 Výpočet zbytkových (reziduálních) rizik Pro výpočet zbytkových rizik je použit stejný "vzorec" riziko = dopad (prostřednictvím hodnoty aktiva) + hrozba + zranitelnost - 2 s tím rozdílem, že v důsledku implementace opatření jsou upraveny (sníženy) hodnoty hrozby a zranitelnosti.

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář