V Brně dne a

Podobné dokumenty
V Brně dne 10. a

ČESKÁ TECHNICKÁ NORMA

Management informační bezpečnosti

Management informační bezpečnosti. V Brně dne 26. září 2013

Efektivní řízení rizik ISMS. Luděk Novák, Petr Svojanovský ANECT a.s.

Informační bezpečnost. Dana Pochmanová, Boris Šimák

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi října 2011 r

srpen 2008 Ing. Jan Káda

Hodnocení rizik v resortu Ministerstva obrany

ČESKÁ TECHNICKÁ NORMA

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

OCTAVE ÚVOD DO METODIKY OCTAVE

Bezepečnost IS v organizaci

BEZPEČNOST ICT. Marek Chlup

Standardy a definice pojmů bezpečnosti informací

Řízení rizik. RNDr. Igor Čermák, CSc.

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Implementace systému ISMS

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

Informatika / bezpečnost

Management rizik. Základní pojmy. Vzájemné vztahy při správě. Obecný postup analýzy rizik. Část identifikující rizika - analýza rizik

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

NEPŘIMĚŘENÉ NÁKLADY. vysvětlení pojmu

Technologie pro budování bezpe nosti IS technická opat ení.

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

ČESKÁ TECHNICKÁ NORMA

Bezpečnostní politika společnosti synlab czech s.r.o.

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

Sem vložte zadání Vaší práce.

Označení: Počet listů: 5 Verze: 1.0 SMĚRNICE ISMS. Název: Pravidla pro uživatele IT systémů. Vytvořil: Schválil: Účinnost od:

Řízení informační bezpečnosti a veřejná správa

Projektové řízení a rizika v projektech

SYSTÉMOVÉ ŘEŠENÍ INFORMAČNÍ BEZPEČNOSTI PODNIKU

Řízení rizik z pohledu bezpečnosti

Datové schránky. únor Jana Kratinová SIKS a.s.

ISMS. Uživatel jako zdroj rizik. V Brně dne 5. a 12. prosince 2013

Informa ní bezpe nost I Management bezpe nosti informa ních systém - ISMS. michal.slama@opava.cz

Vzdělávání pro bezpečnostní systém státu

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

ČESKÁ TECHNICKÁ NORMA

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Posuzování na základě rizika

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

Řízení kybernetické a informační bezpečnosti

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Příloha Vyhlášky č.9/2011

Normy ISO/IEC NISS. V Brně dne 7. listopadu 2013

PŘÍLOHA C Požadavky na Dokumentaci

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Hodnocení úrovně bezpečnostních dopadů a zařazování do bezpečnostních úrovní egc

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok

Odborná skupina pro spolehlivost. Použití ordinálních a semikvantitativních postupů ve spolehlivosti. Jaroslav Zajíček

Případová studie. Zavedení ISMS dle standardu Mastercard

Co je riziko? Řízení rizik v MHMP

Politika bezpečnosti informací

Životní cyklus rizik - identifikace.

Dnešní téma se vztahuje k problematice souboru postupů pro management bezpečnosti informací hodnocení rizik bezpečnosti informací.

ANALÝZA BEZPEČNOSTNÍCH RIZIK INFORMAČNÍCH SYSTÉMŮ

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

1. Politika integrovaného systému řízení

Systém řízení informační bezpečnosti (ISMS)

Aplikovaná informatika

Aplikovaná informatika

Obsah. Příloha č. 2: Standardy a doporučení Verze:

Bezpečnost IS. Základní bezpečnostní cíle

Řízení rizik ICT účelně a prakticky?

BEZPEČNOSTNÍ POLITIKA PRO BEZPEČNOST INFORMACÍ V ORGANIZACI

Hodnocení povodňových rizik

GDPR SNADNO.info. Ing. Lukáš Přibyl, předseda NSMC Network Security Monitoring Cluster

BEZ LIDÍ TO NEPŮJDE. Ivan Svoboda, ANECT & SOCA. Pro zveřejnění

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

Co je a co není implementace ISMS dle ISO a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o.

ČESKÁ TECHNICKÁ NORMA

Procesy a management rizik ve zdravotnické laboratoři. Roubalová Lucie

Bezpečnost na internetu. přednáška

Překlad a interpretace pro české prostředí

Modelování hrozeb. Hana Vystavělová AEC, spol. s r.o.

o Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná

Inovace bakalářského studijního oboru Aplikovaná chemie

BEZPEČNOSTNÍ ROLE. a jejich začlenění v organizaci

REGISTR RIZIK REGISTR RIZIK - STAVBA BOURACÍ PRÁCE. společnost: Zpracoval: Podpis: Datum: Schválil: Podpis: Datum:

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ

NASAZENÍ KONTEXTOVÉHO DLP SYSTÉMU V RÁMCI ZAVÁDĚNÍ ISMS

CHECK POINT INFINITY END TO END BEZPEČNOST JAKO ODPOVĚĎ NA GDPR

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Zákon o kybernetické bezpečnosti

Business impact analýza a zvládání rizik spojených s provozem nedůvěryhodných zařízení BVS. František Sobotka NOVICOM s.r.o

Současné problémy bezpečnosti ve firmách

Protecting Data in Microsoft Online Services. Studie zpracovaná na základě poptávky Microsoft s.r.o. Zakázka: MICR Verze: 2.

Transkript:

Aktiva v ISMS V Brně dne 26.09. a 3.10.2013

Pojmy ISMS - (Information Security Managemet System) - systém řízení bezpečnosti č informací Aktivum - (Asset) - cokoli v organizaci, co má nějakou cenu (hmotná a nehmotná) Aktiva jsou veškerý hmotný a nehmotný majetek! Skupiny pro rozdělení aktiv : - informační aktiva (informace, data) - hardwarová aktiva (technické prostředky hardware) - softwarová aktiva (technické prostředky software) - služby poskytované prostřednictvím t informačních č íhsystémů ů Těmito skupinami aktiv je definován rozsah ISMS. Aktiva v ISMS 2

Základní kritéria informační bezpečnosti Důvěrnost (Confidentionality) - zajištění přístupu k informacím a poskytnutí pouze oprávněným osobám Integrita (Integrity)- zajištění správnosti a úplnosti informací Dostupnost (Availability) - zajištění dostupnosti informací pro oprávněné uživatele v okamžiku potřeby + Efektivita (Effectiveness) Účinnost (Efficiency) Soulad (Compliance) Spolehlivost (Reliability) = Informační kritéria Důvěrnost, Integrita, Dostupnost 3

Ohodnocení aktiv 1. identifikace aktiv včetně jeho vlastníka 2. nástroje k ohodnocení aktiv SW prostředky k hodnocení aktiv (např. CRAMM metodika CCTA Risk Analysis and Management Method) CCTA organizace, která metodiku vyvinula v roce 1985 3. stanovení stupnice a hodnotících kritérií, např.: bezvýznamné riziko akceptovatelné riziko nízké riziko nežádoucí riziko nepřijatelné riziko 4. hodnocení nákladů v důsledků porušení (3 základní kritéria) - důvěrnosti Stanovené hodnoty slouží jako základ pro analýzu rizik!!! - integrity - dostupnosti Analýza rizik (Risk Analysis) je systematické používání informací pro odhad míry rizika a určení jeho zdrojů. Aktiva v ISMS 4

Riziko, hrozba, zranitelnost, dopad Riziko (Risk) je kombinace hrozby a zranitelnosti s dopadem na aktivum. Hrozba (Treat) je událost ohrožující bezpečnost (zneužití zranitelnosti). Zranitelnost (Vulnerability) je slabé místo aktiva. Dopad (Impact) je vznik škody v důsledku působení hrozby. Hrozby Zranitelnosti Aktiva: služby a data informačního systému Dopady Riziko, Hrozba, Zranitelnost, Dopad 5

Výpočet hodnoty aktiva Součtový algoritmus je nejpoužívanější a nejjednodušší. Součet hodnot jednotlivých komponent dělený počtem komponent Příklad 3 komponent: (x+y+z/3) - Dostupnost + důvěrnost +integrita / 3 Hodnotící škála 1 5 Aktivum data o zákaznících poskytovaná systémem 1 hodnota aktiva (hledisko dostupnosti) - 5 (hledisko důvěrnosti) - 5 (hledisko integrity) - 3 Celková váha aktiva data o zákaznících - (5+5+3)/3=4, tedy může se jednat o Tím je také dáno definování dopadu! Příklad tabulky hodnocení aktiva: Aktiva v ISMS 6

Příklad tabulky hodnocení aktiva výpočet hodnoty aktiva pomocí váhy hodnotící íškála 1 5 součtový č maximální je 5 algoritmus aktivum zdroj Dostupnost důvěrnost integrita váha informace o zákaznících systém 5 5 3 4 síťové disky 2 5 3 3 uživatelské stanice 5 5 3 4 atd. Aktiva v ISMS 7

Normativní podpora Následuje analýza rizik například dle ČSN ISO/IEC 27005: Informační technologie - Bezpečnostní techniky - Řízení rizik bezpečnosti informací platná od roku 2009, dříve ČSN ISO/IEC TR 13335-3: Informační technologie - Směrnice pro řízení bezpečnosti IT - Část 3: Techniky pro řízení íbezpečnosti č IT Normy 8

Analýza rizik Identifikuje zranitelná místa Definuje seznam působících hrozeb Stanovuje rizika příslušná ke každému zranitelnému místu a hrozbě Účelem je snížení rizik na přijatelnou úroveň formou opatření Identifikace a popis existujících nebo plánovaných bezpečnostních opatření! Odhad d rizik ik (vychází z tabulky identifikovaných hrozeb a souvisejících í zranitelností) Přijetí rizik (zbytková rizika) Politika bezpečnosti IS Příručka ISMS (Plán bezpečnosti IT) Analýza rizik 9

Odhad rizika Prvotní (orientační) odhad rizika bývá nastaven podle statistického výskytu incidentů v podobě tabulky. Tabulka definuje takzvané orientační riziko. Orientační riziko = pravděpodobnost incidentu x velikost dopadu Tabulka obsahuje: Incident Pravděpodobnost incidentu Velikost dopadu Orientační riziko Podle tohoto odhadu jsou nasazeny (nad základní přístup a opatření uvedená v příručce ISMS) konkrétní a specifická opatření (např. pro technologické místnosti, nadstandardní poskytované služby a podobně) dle činnosti organizace. Riziko naplnění hrozeb u konkrétního aktiva se stanovuje, jako číselné vyjádření toho, že nastane bezpečnostní incident vyvolaný některou (alespoň jednou) z nejpravděpodobnějších hrozeb působících na aktivum. Analýza rizik 10

Analýza rizik s různým počtem parametrů A. metoda se třemi parametry 1. vyhotovení matice zranitelnosti (hodnota aktiva A v závislosti na pravděpodobnosti hrozby T) 2. výpočet č míry rizika ik R podle vztahu R = T x A x V, kde V je zranitelnost t 3. vyhotovení matice rizik z vypočtených hodnot (hodnota aktiva A v závislosti na pravděpodobnosti hrozby T) 4. stanovení hranic pro různé stupně rizika (např. nízká neboli přijatelná, střední a vysoká) B. metoda se dvěma parametry 1. vyhodnocení pravděpodobnosti incidentu a jeho dopadu (pouze 2 parametry PI pravděpodobnost incidentu a D dopad) 2. výpočet míry rizika R podle vztahu R = PI x D Analýza rizik 11

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář