Efektivní řízení rizik ISMS. Luděk Novák, Petr Svojanovský ANECT a.s.

Podobné dokumenty
Řízení rizik ICT účelně a prakticky?

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

V Brně dne a

V Brně dne 10. a

Zkušenosti se zaváděním ISMS z pohledu auditora

Standardy a definice pojmů bezpečnosti informací

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

Fyzická bezpečnost. Bezpečnost informací v ČR. Ing. Oldřich Luňáček, Ph.D. oldrich.lunacek@unob.cz

Bezpečnost na internetu. přednáška

Bezpečnostní politika společnosti synlab czech s.r.o.

Příloha č. 1 Servisní smlouvy. Katalog služeb. S2_P1_Katalog služeb

Projektové řízení a rizika v projektech

Kybernetická bezpečnost Zákonná povinnost nebo existenční nutnost?

ČESKÁ TECHNICKÁ NORMA

Předmluva: Vítejte v ITIL! Úvod 15 IT Infrastructure Library O této knize ITIL (IT Infrastructure Library ) 1.3. Služby a správa služeb

Posuzování na základě rizika

Registry ve zdravotnictví

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

Článek I. Smluvní strany

NEPŘIMĚŘENÉ NÁKLADY. vysvětlení pojmu

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

ISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA

Metodika zajištění ochrany kritické infrastruktury v oblasti výroby, přenosu a distribuce elektrické energie

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi října 2011 r

ISMS. Uživatel jako zdroj rizik. V Brně dne 5. a 12. prosince 2013

ADVANTA group.cz Strana 1 ze 40. Popis řešení Řízení IT projektů. group.cz

Efektivní řízení rizik webových a portálových aplikací

Informační bezpečnost. Dana Pochmanová, Boris Šimák

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

Profesionální a bezpečný úřad Kraje Vysočina

Regulace a normy v IT IT Governance Sociotechnický útok. michal.sláma@opava.cz

Dopady GDPR a jejich vazby

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Řízení rizik. RNDr. Igor Čermák, CSc.

Příloha Vyhlášky č.9/2011

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.

Bezepečnost IS v organizaci

Bezpečnostní aspekty informačních a komunikačních systémů KS2

IDENTITY MANAGEMENT Bc. Tomáš PRŮCHA

Ukázka knihy z internetového knihkupectví

Informa ní bezpe nost I Management bezpe nosti informa ních systém - ISMS. michal.slama@opava.cz

Plánování v rámci ISMS

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

KyBez na MPO. aneb zavádění Zákona o kybernetické bezpečnosti. KyBez na MPO. Ing. Miloslav Marčan Ředitel odboru informatiky

srpen 2008 Ing. Jan Káda

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Zákon o kybernetické bezpečnosti

2.přednáška. Informační bezpečnost: Systém řízení informační bezpečnosti (ISMS)

Management informační bezpečnosti. V Brně dne 26. září 2013

BEZPEČNOST ICT. Marek Chlup

ISVS v cloudu? ANO! Ing. Václav Koudele, Ing. Zdeněk Jiříček

Prklad dokumentov e z akladny ISMS

BEZ LIDÍ TO NEPŮJDE. Ivan Svoboda, ANECT & SOCA. Pro zveřejnění

OCTAVE ÚVOD DO METODIKY OCTAVE

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

Zákon o kybernetické bezpečnosti

Zkušenosti z nasazení a provozu systémů SIEM

MOHOU TECHNOLOGIE ZVÍTĚZIT V BOJI S MODERNÍMI HROZBAMI?

NASAZENÍ KONTEXTOVÉHO DLP SYSTÉMU V RÁMCI ZAVÁDĚNÍ ISMS

Cyber Security GINIS. Ing. Igor Štverka GORDIC spol. s r. o.

Životní cyklus rizik - identifikace.

Státní pokladna. Centrum sdílených služeb

Bezpečnostní politika a dokumentace

ABB September. Slide 1

Informační strategie hl. města Prahy do roku 2010

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad

3.přednáška. Informační bezpečnost: Řízení IS/IT

MINISTERSTVO VNITRA ČR

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Projekt implementace ISMS Dodatek 1, PDCA

Nadpis presentace. Řízení IT v malých. útvarech aneb Light verze IT governance

Management informační bezpečnosti

Co je a co není implementace ISMS dle ISO a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o.

Steganografická komunikace

Aplikovaná informatika

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

MEZINÁRODNÍ AUDITORSKÝ STANDARD ISA 265 OBSAH

Úvod do problematiky informační bezpečnosti. Ing. Jan Bareš, CISA

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Kybernetická bezpečnost II. Management kybernetické bezpečnosti

ZADÁNÍ CELOMĚSTSKY VÝZNAMNÉ ZMĚNY Z 2836/00 ÚZEMNÍHO PLÁNU SÍDELNÍHO ÚTVARU HL. M. PRAHY

Řízení kybernetické a informační bezpečnosti

Systémy řízení EMS/QMS/SMS

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

Implementace řízení strategických a kybernetických rizik v Pražská teplárenské s podporou SW nástroje Risk management tool

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Katalog služeb a podmínky poskytování provozu

Kybernetická a informační bezpečnost (ale kdyby jenom to) Ing. Aleš Špidla

Závěrečná zpráva. Účast: 77 posluchačů (bez zástupců partnerských firem) Vyhodnocení dotazníků:

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Systém řízení informační bezpečnosti (ISMS)

Transkript:

Efektivní řízení rizik ISMS Luděk Novák, Petr Svojanovský ANECT a.s.

Obsah Proč řízení rizik ICT? Základní prvky řízení rizik ICT Příklady ohodnocení Potřeby řízení rizik ICT Registr rizik ICT Závěr Motto: Kdo chce vyřadit každé riziko, ten také zničí všechny šance.

Proč řízení rizik ICT? Vzrůstá míra využití ICT pro uspokojování potřeb organizací Roste závislost fungování organizací na chodu ICT Trvale klesají odborné znalosti obsluhy ICT Stále vzrůstá složitost ICT Existuje příliš mnoho méně patrných závislostí, které mohou mít podstatný vliv na fungování systémů Další úspěšný rozvoj je podmíněn znalostí rizik ICT

Základní prvky řízení rizik ICT Ohodnocení aktiv ICT Posouzení hodnoty aktiv z pohledu organizace Ideální je vycházet z katalogu služeb ICT Ohodnocení rizik ICT Identifikování možných hrozeb a jejich dopadů Určení účinnosti existujících opatření Posouzení jednotlivých rizikových scénářů Zvládání rizik ICT Určení nezbytnosti a způsobu snižování rizika Výběr vhodných bezpečnostních opatření Sladění potřeb a možností určení priorit Kvalita řízení rizik ICT rozhoduje o účelnosti řízení informatiky Identifikace a ohodnocení aktiv ICT Důvěrnost Integrita Dostupnost Identifikace a ohodnocení rizik ICT Dopad Hrozha Zranitelnost Aplikování opatření Zvládání rizik ICT Přenesení rizik Priority zvládání rizik ICT Vyhnutí se rizikům

Příklady ohodnocení aktiv Aplikační server 10.26.26.234 Důvěrnost: vysoká Integrita: vysoká Dostupnost. vysoká Operační systém Důvěrnost: vysoká Integrita: kritická Dostupnost: střední Centrální router Důvěrnost: střední Integrita: střední Dostupnost: střední PDA ředitele Důvěrnost: nízká Integrita: kritická Dostupnost: kritická Služba: Service desk Důvěrnost: 2 pomocné informace Integrita: 3 slouží jako báze znalostí Dostupnost: 3 podpora činností IT max. výpadek 8h Databáze zákazníků Důvěrnost 4 osobní údaje Integrita 4 osobní údaje Dostupnost 3 výpadek v řádu jednoho pracovního dne nezpůsobí vážnější potíže

Příklady ohodnocení rizik Požár Dopad: kritický Hrozba: střední Zranitelnost: nízká Riziko: střední Selhání zařízení Dopad: kritický Hrozba: střední Zranitelnost: nízká Riziko: střední Prozrazení informací Dopad: kritický Hrozba: střední Zranitelnost: vysoká Riziko: vysoké Požár datového centra A46 Dopad: 4 nefunkčnost primárních serverů (částečné záloha výkonu) Hrozba 2 náhodné selhání technologie, nedodržování pravidel DC Zranitelnost 1 požární čidla, zhášení Riziko 2 pravidelné kontroly DC Prozrazení osobních údajů Dopad: 3 porušení zákonných povinností, pokuta Hrozba 3 podezření na úniky (neprokázáno) Zranitelnost 2 identifikace uživatele, omezení přístupových práv, důsledné logování činností, namátkové kontroly Riziko 2 potřeba prohloubit program bezpečnostního povědomí

Příklad přehledu rizik

Co dnes vlastně potřebujeme? Každodenní řízení rizik ICT Úroveň rizika by měla být určena rychle Riziko by mělo být včas předáno k řešení Sledování rizika během procesu jeho zvládání Úzké propojení (splynutí) s řízením informatiky Zapojení širokého spektra informačních zdrojů Již existující znalosti o rizicích ICT Informace získávané během prověřování stavu informatiky Metody sebehodnocení (management, uživatelé, informatici) Podněty všech zainteresovaných osob apod. Přehled a evidenci rizik ICT Určování priorit pro zvládání rizik Efektivní práce s riziky a sledování jejich vývoje Pravidelné přehodnocení systému řízení rizik

Registr rizik Jádro řízení rizik Stupnice dopadů Stupnice hodnocení rizik Stupnice hrozeb Stupnice zranitelnosti Analýzy rizik Události ovlivňující rizika Výsledky testů Zjištění auditů Sebehodnocení Registr rizik Vlastníci rizik Akceptování rizik Eskalování rizik Zbytková rizika Další podněty Katalog rizik Katalog opatření Výběr opatření

Častá pochybení Rizika neodrážení skutečné problémy organizace Řízení rizik není práce s přesnými ukazateli, ale pouze více či méně přesnými odhady Řešení nevede k vytvoření kvalitního a srozumitelného registru rizik (často nesrozumitelné podrobnosti) Výsledkem řízení rizik není stanovení priorit Vlastníci aktiv/rizik/opatření netuší, že jsou vlastníci Není kladen důraz na skutečné pochopení významu hodnot při hodnocení rizik chybí jakékoli komentáře Často není patrný řetězec aktivum riziko opatření co udělat reziduální riziko

Trendy do budoucna Vyšší snaha o řízení správných rizik Zbytečné nízké riziko vede k plýtvání či omezení uživatelů Modelování práce s riziky zatím často intuitivně Modelování skutečné schopnosti opatření redukovat riziko (politika versus hasící přístroj?) Modelování a účelná manipulace s vyspělostí opatření Integrování procesu zvládání incidentů Srovnání reálného života s modelem popisujícím rizik

ZÁVĚR Řízení rizik ICT prohlubuje efektivní řízení informatiky Řízení rizik ICT umožňuje účinněji využít výhod soudobých možností ICT Potřeba aplikovaní vhodných metod řízení rizik od strategického plánování po každodenní činnosti Využití širokého spektra informačních zdrojů zpřesňuje a snižuje náročnost řízení rizik ICT Je důležité nalézt společný jazyk, který umožňuje otevřenou komunikaci o rizicích

Děkujeme za pozornost. Luděk Novák ANECT a.s. ludek.novak@anect.com 16. února 2011? PROSTOR PRO OTÁZKY

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář