V Brně dne 10. a 17.10.2013



Podobné dokumenty
KyBez na MPO. aneb zavádění Zákona o kybernetické bezpečnosti. KyBez na MPO. Ing. Miloslav Marčan Ředitel odboru informatiky

V Brně dne a

V Brně dne 10. a

INTEGROVANÉ DOPRAVNÍ SYSTÉMY

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

INTEGROVANÉ DOPRAVNÍ SYSTÉMY

Efektivní řízení rizik ISMS. Luděk Novák, Petr Svojanovský ANECT a.s.

IS SIMON Informační systém pro sledování polohy železničních vozů

Implementace systému ISMS

Projektové řízení a rizika v projektech

Poznámky k verzi Remote Support Platform 3.0

ODBAVOVACÍ A INFORMAČNÍ SYSTÉMY Informační systémy. 9. hodina typy a druhy informací. prezentace. další harmonogram předmětu

Efektivní řízení rizik webových a portálových aplikací

Místní Agenda 21 v ČR. Ing. arch. Marie Petrová PS URROU, 5. února 2015

Registr práv a povinností. PhDr. Robert Ledvinka vrchní ředitel sekce veřejné správy MV


na téma Komunikační a informační propojení výkonu veřejné správy v rámci kraje

plány vzdělávání personálu OLM (1)

Bezpečnostní projekt Případová studie

e-sbírka a e-legislativa Odbor legislativy a koordinace předpisů Ministerstvo vnitra 13. července 2016

Analýza rizik informačního systému nakládajícího s osobními údaji

Zkušenosti z implementace IS PROXIO - Město Žďár nad Sázavou Ing. Libor Vostrejš vedoucí odboru IT, Ing. Jiří Berkovec MARBES CONSULTING s.r.o.

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

Projekt INTERPI. Archivy, knihovny, muzea v digitálním světě Your contact information

ZAVÁDĚNÍ ECVET V ČESKÉ REPUBLICE

Management rizik. Základní pojmy. Vzájemné vztahy při správě. Obecný postup analýzy rizik. Část identifikující rizika - analýza rizik

NEPŘIMĚŘENÉ NÁKLADY. vysvětlení pojmu

ení nehodovosti Centrum dopravního výzkumu

Bezpečnost na internetu. přednáška

SIS INSTALAČNÍ PŘÍRUČKA (SITE INFORMATION SYSTEM) Datum vytvoření: Datum aktualizace: Verze: v 1.3 Reference:

Praktické zkušenosti s provozováním SIEM RSA envision. Bc. Jiří Kout, Michal Miklánek Česká pošta s.p.

7.5 ANALÝZA RIZIK CELKOVÁ

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.

Metodika zajištění ochrany kritické infrastruktury v oblasti výroby, přenosu a distribuce elektrické energie

Podpora personálních procesů v HR Vema

Zásady pro udělování a užívání značky Kraj Vysočina DOPORUČUJE PRO BEZPEČNÝ INTERNET verze červen 2012

Poznámky k verzi. Scania Diagnos & Programmer 3, verze 2.27

Bezepečnost IS v organizaci

6. konference Medicína katastrof v Hradci Králové

GIS HZS ČR pro ORP a přednostní připojení k veřejné komunikační síti

DODATEČNÉ INFORMACE Č. 1 K ZADÁVACÍM PODMÍNKÁM PŘESHRANIČNÍ INFORMAČNÍ SYSTÉM PRO PŘEDCHÁZENÍ A ŘEŠENÍ POVODNÍ A DALŠÍCH KRIZOVÝCH SITUACÍ

Projekt SGS - Situační Geoprostorový Systém ČEPS

Modelování hrozeb. Hana Vystavělová AEC, spol. s r.o.

PODPORA ZAČÍNAJÍCÍCH PODNIKATELŮ A PŘÍLEŽITOSTI PRO ROZVOJ PODNIKÁNÍ V ÚSTECKÉM KRAJI. 2. Podnikatelské fórum Ústeckého kraje

Protokol o posouzení kvalifikace. Mobilní bezpečná platforma PČR.

Seminář pro žadatele o finanční podporu OP VVV. CORSO IIa, Křižíkova 34, Praha 8, konferenční sál, 4. patro Mgr.

Hodnocení způsobilosti procesu. Řízení jakosti

E-ZAK. metody hodnocení nabídek. verze dokumentu: QCM, s.r.o.

Ceník služeb IP Connect

VITA x ISZR. Školení pro informatiky. Mgr. Jan Křížek, VITA software

Nasazení EIS JASU CS v rezortu Ministerstva zdravotnictví ČR vč. všech podřízených OSS

Business impact analýza a zvládání rizik spojených s provozem nedůvěryhodných zařízení BVS. František Sobotka NOVICOM s.r.o

Automatic Storage Management (ASM) Tomáš Skalický

Regionální knihovní systémy. Ing. Jiří Šilha, LANius s.r.o.

Informace ke stavu celoměstsk xxx

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

TECHNOLOGICKÁ PLATFORMA SILNIČNÍ DOPRAVA

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

Vývoj systému RoadPAC

IT bezpečnost Michal Čábela

NÁSTROJ ENERGETICKÉHO. PORSENNA o.p.s.

Mřížky a vyústky NOVA-C-2-R2. Vyústka do kruhového potrubí. Obr. 1: Rozměry vyústky

Analýza rizik výroby a jejich minimalizace. Martin Macek

Úvod - Podniková informační bezpečnost PS1-1

? Tři pilíře: Jednoznačná zodpovědnost Způsoby finančního krytí Spolupráce

Realizační tým Zhotovitele. Oprávněné osoby. Seznam subdodavatelů. Tabulka pro zpracování nabídkové ceny. Zadávací dokumentace

Bezpečnostní politika

VYTÁPĚNÍ - cvičení č.2 Výpočet potřeby tepla a paliva Denostupňová metoda

REG. ČÍSLO PROJEKTU: CZ.1.07./2.2.00/

Strategie rozvoje Mikroregionu Kahan

10. HOSPODÁŘSKÉ PODMÍNKY 10.1 HRADECKO

Diagnostika solárních panelů

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

WORKSHOP oboru Jaderná energetika

Technická opatření dle zákona o kybernetické bezpečnosti verze 1.0

Technická dokumentace

SOCIÁLNÍ INKLUZE OSTRAVA Integrovaný program

Projektant (měření a regulace) II

a. vymezení obchodních podmínek veřejné zakázky ve vztahu k potřebám zadavatele,

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Umělá inteligence. Příklady využití umělé inteligence : I. konstrukce adaptivních systémů pro řízení technologických procesů

Národní registr nemocí z povolání v rámci projektu EREG

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ

Dodavatel komplexních řešení a služeb v oblasti informačních systémů

Seznam vhodných českých žadatelů podle investičních priorit pro program INTERREG V-A Rakousko Česká republika

ITS: a traffic management and safety tool in Czech republic

Technická specifikace předmětu zakázky

Aplikovaná informatika

Protokol o provedené zkoušce závěrečný

Od teorie k praxi víceúrovňové bezpečnosti

Program EU pro zaměstnanost a sociální inovace (EaSI) Jitka Zukalová, MPSV, oddělení Evropské unie

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi října 2011 r

Vzduchové dveřní clony COR 1000 N

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

SPOLEHLIVOST KONSTRUKCÍ & TEORIE SPOLEHLIVOSTI část 2: Statistika a pravděpodobnost

Plánování v rámci ISMS

Označení: Počet listů: 5 Verze: 1.0 SMĚRNICE ISMS. Název: Pravidla pro uživatele IT systémů. Vytvořil: Schválil: Účinnost od:

Transkript:

Analýza rizik - příklady V Brně dne 10. a 17.10.2013

Identifikace a hodnocení aktiv Aktivum (A) zdroj hodnota Data IS 5 SQL 5 HW sever 4 PC 2 SW OS 3 SQL 3 Služby svr komunikace 5 vzdálený přístup (sklad) 4 Škála 1 až 5 (5 jsou nejdůležitější aktiva) Řízení bezpečnosti informačních systémů veřejné správy 2

Identifikace hrozeb a zranitelností Hrozba (T) pravděpodobnost p příklad zranitelnosti Ztráta dat 3 selhání zálohování Porucha HW 1 sever nedostatečně zálohovaný 2 závada na PC Selhání SW 3 nedostatečné aktualizace ASW 2 chyba v databázi Selhání komunikace 4 nedostatečná ochrana Napadení sítě 5 nedostatečná aktualizace ochran Neúmyslný incident 4 nedostatečné školení Živelná pohroma 2 umístění v povodňové zóně Škála 1 až 5 (5 je nejpravděpodobnější hrozba) Řízení bezpečnosti informačních systémů veřejné správy 3

A. metoda se třemi parametry 00. provedení identifikace a hodnocení aktiv (tabulka) 01. provedení identifikace hrozeb a zranitelností (tabulka) 1. vyhotovení matice zranitelnosti (hodnota aktiva A v závislosti na pravděpodobnosti hrozby T) 2. vyhotovení matice rizik z vypočtených hodnot (hodnota aktiva A v závislosti na pravděpodobnosti hrozby T) 3. výpočet míry rizika R podle vztahu R = T x A x V, kde V je zranitelnost 4. stanovení hranic pro různé stupně rizika (např. nízká neboli přijatelná, střední a vysoká) Řízení bezpečnosti informačních systémů veřejné správy 4

Matice zranitelnosti dtbá databáze dtbá databáze připojení připojení V popis aktiva svr skladu server PC OS databáze svr PC zranitelnost A hodnota aktiva 5 5 4 2 3 3 5 4 T popis hrozby pravděpodobnost d ztráta dat 3 4 5 selhání HW (svr) 1 2 selhání HW (PC) 2 1 selhání ASW 3 2 selhání SQL 2 3 selhání komunikace 4 3 2 Napadení sítě 5 5 2 2 4 neúmyslný incident 4 3 5 živelná pohroma 2 5 2 Řízení bezpečnosti informačních systémů veřejné správy 5

Matice rizik databáze databáze připojení připojení R popis aktiva svr skladu server PC OS databáze svr PC Riziko A hodnota aktiva 5 5 4 2 3 3 5 4 T popis hrozby Pravděpodobnost ztráta dat 3 60 75 selhání HW (svr) 1 8 selhání HW (PC) 2 6 selhání ASW 3 12 selhání SQL 2 18 selhání komunikace 4 60 32 Napadení sítě 5 100 20 30 60 neúmyslný incident 4 60 100 živelná pohroma 2 50 16 Míra rizika: R = A x T x V A,T a V 3 parametry Řízení bezpečnosti informačních systémů veřejné správy 6

Stanovení hranic rizika bezvýznamné riziko 0 až 10 akceptovatelné riziko 10 až 20 mírné riziko 20 až 30 nežádoucí riziko 30 až 60 nepřijatelné riziko 60 a více Uvažujeme hranice rizika ve třech stupních: - nízká 0až30 -střední 30 až 60 - vysoká 60 a více Řízení bezpečnosti informačních systémů veřejné správy 7

B. metoda se dvěma parametry 00. provedení identifikace a hodnocení aktiv (tabulka) 01. provedení identifikace hrozeb a zranitelností (tabulka) 1. vyhodnocení pravděpodobnosti incidentu a jeho dopadu (pouze 2 parametry PI pravděpodobnost incidentu a D dopad) 2. dopad využívá stejné hodnocení jako aktivum 3. výpočet míry rizika R podle vztahu R = PI x D Poznámka: PI je hodnota, kterou lze uvádět také v %. 4. doplnění existujícího opatření k tabulce hrozeb a zranitelností Řízení bezpečnosti informačních systémů veřejné správy 8

Tabulka aktiv a hrozeb Aktivum - Databáze serveru (hodnota 5) Hrozba - ztráta dat PI = 10 Dopad 5 Riziko 50 neúmyslný incident PI = 15 Dopad 5 Riziko 75 Aktivum Databáze skladu (hodnota 5) Hrozba - ztráta dat PI = 15 Dopad 5 Riziko 75 neúmyslný incident PI = 20 Dopad 5 Riziko 100 Aktivum Server IS (hodnota 4) Hrozba - selhání HW PI = 3 Dopad 4 Riziko 12 napadení sítě PI = 25 Dopad 4 Riziko 100 živelá pohroma PI = 2 Dopad 4 Riziko 8 Aktivum pracvní stanice PC (hodnota 2) Hrozba - selhání HW PI = 8 Dopad 1 Riziko 8 napadení sítě PI = 25 Dopad 1 Riziko 25 Řízení bezpečnosti informačních systémů veřejné správy 9

Tabulka výpočtu rizika Pravděpodobnost D R Aktivum Hodnota Hrozba Zranitelnost incidentu PI Dopad Riziko Opatření Databáze svr 5 ztráta dat selhání zálohování 10 5 50 pravidelné zálohování neúmyslný incid. nedostatečné školení 15 5 75 pravidelné školení Databáze skladu 5 ztráta dat selhání zálohování 15 5 75 pravidelné zálohování neúmyslný incid. nedostatečné školení 20 5 100 pravidelné školení 4 selhání HW nefunkční UPS 3 4 12 oprava UPS Server IS napadení slabá ochrana 25 4 100 FW + IPS živelná pohroma nevhodné umístění 2 4 8 přemístění Pracovní stanice PC 2 selhání HW vysoká poruchovost 8 1 8 značkové PC napadení slabá ochrana 25 1 25 FW + IPS atd. Míra rizika: R = PI x D PI a D 2 parametry Řízení bezpečnosti informačních systémů veřejné správy 10

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář