Řízení rizik ICT účelně a prakticky?



Podobné dokumenty
Efektivní řízení rizik ISMS. Luděk Novák, Petr Svojanovský ANECT a.s.

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Bezpečnost na internetu. přednáška

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

V Brně dne 10. a

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Posuzování na základě rizika

Efektivní správa ICT jako základ poskytování služby outsourcing IT

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.

Hodnocení úrovně bezpečnostních dopadů a zařazování do bezpečnostních úrovní egc

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Hodnocení rizik v resortu Ministerstva obrany

Schválená HZS ČR Květoslava Skalská prosinec 2011

Naplňování evropského nařízení GDPR v podmínkách Statutárního města Kladna. Ing. Zdeněk Slepička tajemník Magistrátu města Kladna

ČESKÁ TECHNICKÁ NORMA

Kybernetická bezpečnost resortu MV

Co je riziko? Řízení rizik v MHMP

MĚSTSKÝ ROK INFORMATIKY - ZKUŠENOSTI S NASAZENÍM STANDARDNÍCH APLIKAČNÍCH ŘEŠENÍ V PROSTŘEDÍ STATUTÁRNÍHO MĚSTA LIBEREC

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

VIZE INFORMATIKY V PRAZE

V Brně dne a

Současný stav a rozvoj elektronického zdravotnictví - pohled Ministerstva zdravotnictví

Kybernetická bezpečnost

Kybernetická bezpečnost MV

VZDĚLÁVÁNÍ V OBLASTI KYBERNETICKÉ BEZPEČNOSTI NA UNIVERZITĚ OBRANY I. ČÁST. pplk. Ing. Petr HRŮZA, Ph.D. petr.hruza@unob.cz Univerzita obrany Brno

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi října 2011 r

Úvod - Podniková informační bezpečnost PS1-2

POSKYTOVÁNÍ ZÁKLADNÍCH PROVOZNÍCH APLIKACÍ VEŘEJNÉ SPRÁVY

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Management informační bezpečnosti

Bezpečnostní politika a dokumentace

Implementace systému ISMS

Kybernetická a informační bezpečnost (ale kdyby jenom to) Ing. Aleš Špidla

LETNÍ ŠKOLA Zdravých měst

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

Jaké představy má o rozvoji. Ministerstvo zdravotnictví? září 2012 Ing. Petr Nosek

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Nadpis presentace. Řízení IT v malých. útvarech aneb Light verze IT governance

Zkušenosti s budováním základního registru obyvatel

Jan Hřídel Regional Sales Manager - Public Administration

VODÍTKA HODNOCENÍ DOPADŮ

CISAŽP. Celostátní informační systém pro sběr a hodnocení informací o znečištění životního prostředí

Zákon o kybernetické bezpečnosti

Řízení rizik. RNDr. Igor Čermák, CSc.

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

Outsourcing v podmínkách Statutárního města Ostravy

Spisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.)

Zajištění dostupnosti vybraných IT služeb

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

Systém řízení informační bezpečnosti (ISMS)

BEZ LIDÍ TO NEPŮJDE. Ivan Svoboda, ANECT & SOCA. Pro zveřejnění

1. Integrační koncept

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Výzva k podání nabídek na veřejnou zakázku malého rozsahu na dodávky

Byznys versus IT perspektiva

Východiska pro budoucí podobu regionální politiky

Dopady GDPR na elektronizaci zdravotnictví

student: Jiří Kostrba Vyšší odborná škola informačních služeb, Praha Institute of Technology, Sligo

ISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA

Bezpečnostní aspekty informačních a komunikačních systémů KS2

ELEKTROWIN a. s. Politika společnosti. Interní materiál spol. ELEKTROWIN a.s.

Zpracování a udržování Registru právních a jiných požadavků

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

GDPR. Požadavky na dokumentaci. Luděk Nezmar

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

1. Politika integrovaného systému řízení

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

MĚSTSKÝ ROK INFORMATIKY KLADNO

Bezpečnostní politika společnosti synlab czech s.r.o.

Zástupce ředitele a personální práce

MONITORING NEKALÝCH OBCHODNÍCH PRAKTIK

Projekt GDPR-CZ. innogy Přístup k projektu. Agenda. 12/09/2017 Page 1. Praha 13. září Úvod a cíle projektu. Kontext GDPR.

Představení služeb DC SPCSS Státní pokladna Centrum sdílených služeb

Enterprise Architecture na MPSV

Systém řízení informační bezpečnosti Information security management systém

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI. JUDr. Mgr. Barbora Vlachová judr.vlachova@ .cz

Security. v českých firmách

Implementace řízení strategických a kybernetických rizik v Pražská teplárenské s podporou SW nástroje Risk management tool

Management přepravy nebezpečných věcí na evropské a národní úrovni ve vztahu k systému krizového řízení ČR

EFEKTIVNÍ FINANČNÍ ŘÍZENÍ MĚST, REGIONŮ A JEJICH ORGANIZACÍ

MVČR a egovernment. Ing. Jaroslav Chýlek MBA, Náměstek ministra vnitra pro informatiku. 6. Národní konference pro kvalitu veřejné správy

Aplikovaná informatika

Propojování počátečního a dalšího vzdělávání

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

Není cloud jako cloud, rozhodujte se podle bezpečnosti

PROBLEMATIKA INFORMATIKY V OBCÍCH LIBERECKÉHO KRAJE

Obecné nařízení o ochraně osobních údajů

Řízení kybernetické a informační bezpečnosti

Zkušenosti z nasazení a provozu systémů SIEM

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

do Českého zdravotnictví Michal Koščík Definujte zápatí - název prezentace / pracoviště 1

PROBLEMATIKA ZAJIŠŤOVÁNÍ FYZICKÉ BEZPEČNOSTI NEMOCNIC, SOUČÁST PREVENCE KRIMINALITY VE MĚSTĚ A KRAJI

Strategický dokument se v současné době tvoří.

Sjednocení dohledových systémů a CMDB

Transkript:

Řízení rizik ICT účelně a prakticky? Luděk Novák, Petr Svojanovský, ANECT a.s. ISSS 12. 13. dubna 2010, Hradec Králové

OBSAH Proč řízení rizik ICT? Základní prvky řízení rizik ICT Příklady ohodnocení Potřeby řízení rizik ICT Registr rizik ICT Závěr Motto: Kdo chce vyřadit každé riziko, ten také zničí všechny šance.

PROČ ŘÍZENÍ RIZIK ICT? Vzrůstá míra využití informačních a komunikačních systémů pro uspokojování potřeb organizací Roste závislost fungování organizací na chodu informačních a komunikačních systémů Trvale klesají odborné znalosti obsluhy informačních a komunikačních systémů Stále vzrůstá složitost informačních a komunikačních systémů Existuje mnoho málo zřetelných závislostí, které mohou mít podstatný vliv na fungování systémů Další úspěšný rozvoj je podmíněn znalostí rizik ICT

ZÁKLADNÍ PRVKY ŘÍZENÍ RIZIK ICT Ohodnocení aktiv ICT Posouzení hodnoty a přínosů aktiv z pohledu organizace Ideální je vycházet z katalogu služeb ICT Ohodnocení rizik ICT Identifikování možných hrozeb a jejich dopadů Určení účinnosti existujících opatření Posouzení jednotlivých rizikových scénářů Zvládání informačních rizik Určení nezbytnosti a způsobu snižování míry rizika Výběr vhodných bezpečnostních opatření Sladění potřeb a možností určení priorit pro zvládání Kvalita analýzy a zvládání informačních rizik rozhoduje o účinnosti a efektivnosti řízení informatiky

PŘÍKLADY OHODNOCENÍ AKTIV Aplikační server 10.26.26.234 Důvěrnost: vysoká Integrita: vysoká Dostupnost. vysoká Operační systém linux/windows Důvěrnost: vysoká Integrita: kritická Dostupnost: střední Centrální router Důvěrnost: střední Integrita: střední Dostupnost: střední PDA tajemníka úřadu Důvěrnost: nizká Integrita: kritická Dostupnost: kritická Služba Service desk Důvěrnost: 2 pomocné informace Integrita: 3 slouží jako báze znalostí Dostupnost: 3 podpora činností IT max. výpadek 8h Obecní databáze občanů Důvěrnost 4 osobní údaje Integrita 4 osobní údaje Dostupnost 3 výpadek v řádu 1 pracovního dne nezpůsobí vážnější potíže

PŘÍKLADY OHODNOCENÍ RIZIK Požár Dopad: kritický Hrozba: střední Zranitelnost: nízká Riziko: střední Selhání zařízení Dopad: kritický Hrozba: střední Zranitelnost: nízká Riziko: střední Prozrazení informací Dopad: kritický Hrozba: střední Zranitelnost: vysoká Riziko: vysoké Požár datového centra A46 Dopad: 4 nefunkčnost primárních serverů (částečné záloha výkonu) Hrozba 2 náhodné selhání technologie, nedodržování pravidel DC Zranitelnost 1 požární čidla, zhášení Riziko 2 pravidelné kontroly DC Prozrazení osobních údajů Dopad: 3 porušení zákonných povinností, pokuta úřadu Hrozba 3 podezření na úniky údajů v minulosti (nebylo prokázáno) Zranitelnost 2 identifikace uživatele, omezení přístupových práv, důsledné logování činností, namátkové kontroly Riziko 2 potřeba prohloubit program bezpečnostního povědomí

CO DNES VLASTNĚ POTŘEBUJEME? Každodenní řízení rizik Úroveň rizika by měla být určena rychle Riziko by mělo být včas předáno k řešení Sledování rizika během procesu jeho zvládání Úzké propojení (splynutí) s řízením informatiky Zapojení širokého spektra informačních zdrojů Již existující znalosti o informačních rizicích Informace získávané během prověřování stavu informatiky Metody sebehodnocení (management, uživatelé, informatici) Podněty všech zainteresovaných osob apod. Přehled a evidenci informačních rizik Určování priorit pro zvládání rizik Efektivní práce s riziky a sledování jejich vývoje Pravidelné přehodnocení systému řízení informačních rizik

REGISTR RIZIK JÁDRO SYSTÉMU ŘÍZENÍ RIZIK Stupnice dopadů Stupnice hodnocení rizik Stupnice hrozeb Stupnice zranitelnosti Analýzy rizik Vlastníci rizik Události ovlivňující rizika Akceptování rizik Výsledky testů Eskalování rizik Zjištění auditů Sebehodnocení Zbytková rizika Další podněty Katalog rizik Katalog opatření Výběr opatření

ZÁVĚR Řízení rizik ICT prohlubuje efektivní řízení informatiky Řízení rizik ICT umožňuje účinněji využít výhod soudobých možností informačních a komunikačních technologií Potřeba aplikovaní vhodných metod řízení rizik od strategického plánování po každodenní činnosti Využití širokého spektra informačních zdrojů zpřesňuje a snižuje náročnost řízení rizik ICT Je důležité nalézt společný jazyk, který umožňuje otevřenou komunikaci o rizicích

Děkuji za pozornost! ludek.novak@anect.com petr.svojanovsky@anect.com

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář