Plánování v rámci ISMS



Podobné dokumenty
Standardy a definice pojmů bezpečnosti informací

1 Indikátory pro monitoring a evaluaci

Metody hodnocení rizik

Management rizik. Základní pojmy. Vzájemné vztahy při správě. Obecný postup analýzy rizik. Část identifikující rizika - analýza rizik

MEZINÁRODNÍ AUDITORSKÝ STANDARD ISA 505 EXTERNÍ KONFIRMACE OBSAH

MINISTERSTVO PRO MÍSTNÍ ROZVOJ UŽIVATELSKÁ PŘÍRUČKA IS KP 14+ PRO INTEGROVANÉ NÁSTROJE: ŽÁDOST O PODPORU STRATEGIE CLLD. Verze: 1.

D o h o d a. o s o u č i n n o s t i


Směrnice DSO Horní Dunajovice a Želetice - tlaková kanalizace a intenzifikace ČOV. Dlouhodobý majetek. Typ vnitřní normy: Identifikační znak: Název:

Postup šetření pro rok Ministerstvo pro místní rozvoj Odbor veřejného investování

SMĚRNICE Zjednodušená analýza rizika blesku

ORGANIZAČNÍ ŘÁD ŠKOLY

Vyhlášení opakované veřejné soutěže 1/6

plk. Ing. Ivan Koleňák

ODŮVODNĚNÍ VEŘEJNÉ ZAKÁZKY Dostavba splaškové kanalizace - Prostřední Bečva a Horní Bečva, zhotovitel, dle vyhlášky č. 232/2012 Sb.

INFORMAČNÍ SYSTÉM O AREÁLU

4. 1. Učební plán ŠVP pro ZŠS Nejhravější škola Tabulace učebního plánu pro DÍL I: Vzdělávací Vzdělávací

ČÁST TŘETÍ ŘÍDICÍ A KONTROLNÍ SYSTÉM HLAVA I POŽADAVKY NA ŘÍDICÍ A KONTROLNÍ SYSTÉM

VNITŘNÍ ŘÁD ŠKOLNÍ DRUŽINY

MV ČR, Odbor egovernmentu. Webové stránky veřejné správy - minimalizace jejich zranitelnosti a podpora bezpečnostních prvků

MĚSTSKÁ ČÁST PRAHA 3 Rada městské části U S N E S E N Í

JAK VÍTĚZIT NAD RIZIKY. Aktivní management rizik nástroj řízení úspěšných firem

Ovoce do škol Příručka pro žadatele

PŘÍLOHY SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY

PROVÁDĚCÍ NAŘÍZENÍ KOMISE (EU)

;Metodické listy pro kombinované studium předmětu MANAŽERSKÁ EKONOMIKA

Předmět: Člověk a jeho svět

O b s a h : 12. Úřední sdělení České národní banky ze dne 1. října 2001 k využívání outsourcingu bankami

Návrh a management projektu. Řízení rizika

Upíše-li akcie osoba, jež jedná vlastním jménem, na účet společnosti, platí, že tato osoba upsala akcie na svůj účet.

5.7.Učební osnovy - Vlastivěda

ÁST OBEC MALŠOVICE I.ETAPA

kotvení stožárů veřejného osvětlení na mostech Obsah

Základní škola a Mateřská škola Kašava, okres Zlín, příspěvková organizace

Role malých pr ojektů pr o udr žitelný rozvoj České rafinérské, a.s.

VY_32_INOVACE_OV_1AT_01_BP_NA_ELEKTRO_PRACOVISTI. Střední odborná škola a Střední odborné učiliště, Dubno

MĚSTO KAMENICE NAD LIPOU nám. Čsl. armády 52, Kamenice nad Lipou

ISA 402 ZVAŽOVANÉ SKUTEČNOSTI TÝKAJÍCÍ SE SUBJEKTŮ VYUŽÍVAJÍCÍCH SLUŽEB SERVISNÍCH ORGANIZACÍ

POŘÍZENÍ NÍZKOEMISNÍHO ZDROJE A ZATEPLENÍ KULTURNĚ SPOLEČENSKÉ BUDOVY DŘEŠÍNEK

Modul informačního systému SPŠSE Liberec

NÚOV Kvalifikační potřeby trhu práce

PLAN CONTROL s.r.o., U Trojice 120, Český Krumlov

účetních informací státu při přenosu účetního záznamu,

Společenství vlastníků Kralovická 1450/1451 (41/43) DOMOVNÍ ŘÁD. Článek 1 Obecná ustanovení

Zákon o elektronickém podpisu

PROGRAM OBNOVY VENKOVA VYSOČINY

CZ.1.07/1.1.00/

-1- N á v r h ČÁST PRVNÍ OBECNÁ USTANOVENÍ. 1 Předmět úpravy

Příloha: Dodatečné informace, včetně přesného znění žádosti dodavatele o dodatečné informace

RÁMCOVÁ DOHODA ŠVÝCARSKOU FEDERÁLNÍ RADOU. VLÁDOU ČESKÉ REPUBLIKY týkající se

Příloha Průběžné zprávy. Shrnutí návrhu algoritmu

SBÍRKA ZÁKONŮ. Ročník 2012 ČESKÁ REPUBLIKA. Částka 14 Rozeslána dne 31. ledna 2012 Cena Kč 53, O B S A H :

1. Stanovení sazby pomocí ISPV (viz Východisko tohoto dokumentu). 2. Alternativní způsob výpočtu sazby mzdy/platu dle kapitoly 2 tohoto dokumentu.

18. VNITŘNÍ ŘÁD ŠKOLNÍ DRUŽINY

VI. Finanční gramotnost šablony klíčových aktivit

Směrnice o schvalování účetní závěrky

P A1-B Informace o žadateli

Ekonomické ztráty způsobené nehodovostí v silničním provozu v ČR za rok 2006

Česká zemědělská univerzita v Praze Fakulta provozně ekonomická. Obor veřejná správa a regionální rozvoj. Diplomová práce

Centrum pro rodinu, Lidická 174, Broumov Sociálně aktivizační služba pro rodiny s dětmi. STANDARD č.7

ZNALECKÝ POSUDEK. č / 15

Obec Nová Ves I. Výzva k podání nabídky

nzv'_, \, III MINISTERSTVO ZEMĚDĚLSTVÍ Rezortní interní protikorupční program Ministerstva zemědělství

sexta, druhý ročník Celkem hodin

ZADÁVACÍ DOKUMENTACE

P A C H T O V N Í S M L O U V A. OBEC VĚŽKY (IČ: Podíl:1/1) Věžky Vlkoš u Přerova. jako Propachtovatel na straně jedné

Katalog vzdělávání 2015

Kategorizace zákazníků

Zadavatel: Zadavatel ve smyslu zákona: územní samosprávný celek - 2 odst. 2 písm. c) zákona Právní forma: Název zakázky:

ČSN EN ISO 9004 OPRAVA 1

Budování aplikačních rozhraní pro obousměrnou komunikaci mezi ERMS a jejich vztah k Národnímu standardu pro komunikaci mezi ERMS.

418/2001 Sb. VYHLÁŠKA

Pomůcka pro zařazení způsobilých výdajů při vyplňování přílohy č. 1. Žádosti o finanční příspěvek (rozpočtu).

ZNALECKÝ POSUDEK. č /12. o obvyklé ceně pozemku parc.č. 2022/63 v k.ú. Velká Bystřice, obec Velká Bystřice, okr. Olomouc.

REVITALIZACE VEŘEJNÝCH PROSTRANSTVÍ, III. ETAPA B2.1. TECHNICKÁ ZPRÁVA

Čl. 3 Poskytnutí finančních prostředků vyčleněných na rozvojový program Čl. 4 Předkládání žádostí, poskytování dotací, časové určení programu

ZNALECKÝ POSUDEK O OBVYKLÉ CENĚ NEMOVITOSTI

SAFETICA 7 DATA LOSS PREVENTION

Přírodní památka Černá Desná, širší vztahy

Pokyn D Sdělení Ministerstva financí k rozsahu dokumentace způsobu tvorby cen mezi spojenými osobami

Armáda spásy, Dům pro matky s dětmi v Havířově DOMOVNÍ ŘÁD

250. Štítek musí obsahovat alespoň tyto údaje:

Základní škola, Ostrava Poruba, Bulharská 1532, příspěvková organizace

Hlavní účetní a daňové novinky roku 2016

Protokol o atestačním řízení

ČÁST PÁTÁ POZEMKY V KATASTRU NEMOVITOSTÍ

obecně závazné vyhlášky o vedení technické mapy obce A. OBECNÁ ČÁST Vysvětlení navrhované právní úpravy a jejích hlavních principů

VYSOKÁ ŠKOLA FINANČNÍ A SPRÁVNÍ, o.p.s. Fakulta ekonomických studií katedra řízení podniku. Předmět: ŘÍZENÍ LIDSKÝCH ZDROJŮ (B-RLZ)

Česká školní inspekce Inspektorát v Kraji Vysočina PROTOKOL O KONTROLE. č. j. ČŠIJ-292/15-J

PŘÍRUČKA K PŘEDKLÁDÁNÍ PRŮBĚŽNÝCH ZPRÁV, ZPRÁV O ČERPÁNÍ ROZPOČTU A ZÁVĚREČNÝCH ZPRÁV PROJEKTŮ PODPOŘENÝCH Z PROGRAMU BETA

Objektově orientované databáze

1. ÚSCHOVNÉ OBJEKTY A JEJICH ZÁMKY

Implementace směrnice 2012/27/EU o energetické účinnosti v podmínkách ČR

Sportovní soukromá základní škola Litvínov s.r.o. Podkrušnohorská 1677, Litvínov,

ORGANIZAČNÍ ŘÁD ŠKOLY

*KUMSX01KD27M* Rozhodnutí. KRAJSKÝ ÚŘAD MORAVSKOSLEZSKÝ KRAJ Odbor dopravy 28. října 117, Ostrava. rozhodl

Rámcový rezortní interní protikorupční program

Základní škola a mateřská škola, Stráž pod Ralskem, příspěvková organizace se sídlem Pionýrů 141, Stráž pod Ralskem Školní řád

Speciální způsoby záchrany s využitím vrtulníku

ZÁSADY PRO POSKYTOVÁNÍ UBYTOVÁNÍ V DOMOVĚ MLÁDEŽE

Transkript:

Agenda František teiner Západočeská univerzita v Plzni Plánování v rámci IM Základní pojmy Management rizik Analýza rizik Metody analýzy rizik Základní pojmy Aktivum cokoliv, co má pro organizaci cenu Hrozba potenciální příčina incidentu, která může mít za následek poškození systému nebo organizace Zranitelnost slabá stránka aktiva nebo skupiny aktiv, která může být využita jednou nebo více hrozbami Základní pojmy Riziko je potenciální možnost, že daná hrozba využije zranitelností aktiv nebo skupiny aktiv a způsobí tak ztrátu nebo zničení aktiv Riziko kombinace pravděpodobnosti výskytu události a jejich následků zájemné vztahy při správě rizik Krok tanovení rozsahu a hranic IM Rozsah IM

Krok Definice politiky IM Politika IM Krok Definice přístupu k hodnocení rizik Dokumentovaný přístup k hodnocení rizik Krok Identifikace rizik eznam aktiv, hrozeb, zranitelností a dopadů Krok Analýza a vyhodnocení rizik Zpráva o dopadech a pravděpodobnostech 9 Krok Identifikace a vyhodnocení variant pro zvládání rizik Plán zvládání rizik Krok ýběr cílů opatření a jednotlivých opatření eznam cílů opatření a opatření

Krok Získání souhlasu vedení s navrhovanými zbytkovými riziky Záznam o schválení zbytkových rizik Krok 9 Získání povolení vedení k zavedení a provozu IM Povolení vedení k implementaci IM Management rizik (Č IO/IEC R ) Část identifikující rizika - analýza rizik Krok Příprava Prohlášení o aplikovatelnosti Prohlášení o aplikovatelnosti Část hledající odpovídající ochranná opatření - zvládání rizik tanovení rozsahu Analýza rizik Management rizik (B 99-) Identifikace aktiv Ohodnocení aktiv Odhad Odhad hrozeb zranitelnosti Odhad rizik ýběr ochranných opatření Přijetí rizik Identifikace existujících ochranných opatření E Posouzení a hodnocení rizik ýběr, implementace a provoz nástrojů řízení pro ošetření rizik Monitorování a přezkoumání rizik Udržování a zlepšování nástrojů řízení rizika AO Politika bezpečnosti systému I

% bezpečnost? Bezpečný systém je pouze takový, který je vypnut a odpojen, uzamčen ve vyztuženém titanovém trezoru, který je zabetonován v bunkru a obklopen nervovým plynem, a to vše je střeženo velmi dobře placenými ozbrojenými strážci. Gene pafford Computer Operations, Audit, and ecurity echnology (COA) Purdue University Obecný postup analýzy rizik tanovení hranice analýzy rizik Identifikace aktiv tanovení hodnoty a seskupování aktiv Identifikace hrozeb Analýza pravděpodobnosti hrozeb a zranitelností Identifikace používaných opatření ýpočet rizika 9 Aktiva Co jsou aktiva? Aktivum je něco, co má pro organizaci hodnotu a z tohoto důvodu ho musí organizace chránit Musí být relevantní rozsahu systému řízení bezpečnosti informací Aktiva Příklady aktiv spojovaných s informačními systémy jsou: Informační aktiva - datové soubory, uživatelská dokumentace atd. Papírové dokumenty smlouvy, směrnice atd. oftware aplikační a systémový W atd. Fyzická aktiva počítač, média atd. Lidé zákazníci, personál atd. Image a dobré jméno lužby komunikační, odborné atd. Hodnoty aktiv (a potenciální dopady) Má organizace identifikované hodnoty jejich informačních aktiv? Určení hodnoty každého aktiva je první krok ke stanovení efektivní bezpečnostní strategii Jaký systém až nebo nízká až velmi vysoká Jsou životně důležité složky procesu analýzy rizik aktiv Dle IO/IEC, aktiva nemusí nutně zahrnovat všechny věci normálně považované za cenné Organizace musí určit, která aktiva mohou svou absencí nebo porušením ovlivnit dodávku produktu/služby

Hrozby Příklady hrozeb Potenciální příčina nežádoucího incidentu, který může mít za následek poškození organizace a jejích aktiv Úmyslné nebo náhodné, způsobené člověkem nebo vyšší mocí Aktiva jsou předmětem mnoha druhů hrozeb, které využívají zranitelností Úmyslné Odposlech Změna informace Hacking systému epřátelský program Krádež Lidské áhodné Chyby a opomenutí ymazání souboru esprávné směrování Fyzické nehody Hrozby prostředí Zemětřesení Blesk Povodeň Požár Zranitelnosti Zranitelnost je slabina/díra informační bezpečnosti organizace Zranitelnost sama o sobě nezpůsobuje poškození, je to pouze okolnost nebo soubor okolností, které umožní hrozbě ovlivnit aktiva ení-li zranitelnost řízena, umožní hrozbě působit na aktiva Příklady zranitelností Absence vedoucího pracovníka estabilní elektrická síť echráněná kabeláž edostatek bezpečnostního povědomí Chybně přiřazená přístupová práva edostatečný bezpečnostní výcvik einstalovaný firewall ezamčené dveře Posouzení hrozeb a zranitelností Úmyslné áhodné Minulé incidenty ový vývoj a trendy Metody analýzy rizik Kvalitativní metody Rizika vyjádřena v určitém rozsahu Jednodušší, rychlejší a více subjektivní Problém s kontrolou efektivnosti nákladů Kvantitativní metody Založeny na matematickém výpočtu rizika íce exaktní, náročnější na čas a úsilí Poskytují finanční vyjádření rizika 9

ypy analýzy rizik (Č IO/IEC R ) Základní AR Aplikuje tzv. základní bezpečnost Implementace katalogových ochranných opatření eformální AR yužívá znalostí a zkušeností jednotlivců Rychlost a finanční nenáročnost ypy analýzy rizik (Č IO/IEC R ) Orientační AR ětšinou součást kombinované AR Určuje vhodný typ AR pro daný systém (základní nebo podrobná) Podrobná AR Kombinovaná AR Kombinace orientační a podrobné AR Podrobná analýza rizik identifikace a ocenění aktiv nalezení zranitelných míst odhad pravděpodobnosti využití zranitelných míst výpočet očekávaných ztrát přehled použitých opatření a jejich nákladů odhad ročních úspor po zavedení vybraných opatření Kombinovaná analýza rizik Orientační AR Identifikace důležitých systémů Podrobná analýza u důležitých systémů Základní AR u ostatních systémů Matice s předdefinovanými hodnotami Metody analýzy rizik Úroveň Úroveň zranitelnosti ízká třední ysoká aktiv

Odhad hodnoty četnosti a možné změny rizik Rozlišení mezi riziky, které je možné a které není možné tolerovat Úrovně Úrovně zranitelnosti četnosti aktiv četnosti ízká třední ysoká dopadu četností Zařazení hrozeb podle míry rizika Analýza rizik využívající matice aktiv, hrozeb a zranitelností () (a) Hrozba A Hrozba B Hrozba C Hrozba D Hrozba E Hrozba F dopadu (aktiv) (b) Pravděpo dobnost výskytu (c) Míra rizika (d) Zařazení (e) Hrozba A Hrozba B Hrozba C Hrozba D... Hrozba X aktiva aktiva (A) Pravděpod obnost () x Aktivum Aktivum Aktivum... Aktivum Y Ay xy 9 Analýza rizik využívající matice aktiv, hrozeb a zranitelností () Analýza rizik vyhodnocující pravděpodobnost incidentu a jeho dopad Hrozba A Hrozba B Hrozba C Hrozba D... Hrozba X aktiva aktiva (A) Pravděpod obnost () x Aktivum Aktivum Aktivum... Aktivum Y Ay Rxy = x. Ay. xy Aktivum Aktivum Hrozba Hrozba A Hrozba C Hrozba D Zranitelnosti Zranitelnost Zranitelnost Zranitelnost Zranitelnost Zranitelnost Zranitelnost Zranitelnost Zranitelnost Pravděpodobnost incidentu Dopad Riziko Opatření Opatření Opatření

oftwarové nástroje CRAMM RA Art of Risk CORA COBRA a další.

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář