Bezepečnost IS v organizaci



Podobné dokumenty
V Brně dne 10. a

Informatika / bezpečnost

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

V Brně dne a

Aplikovaná informatika

Bezpečnost na internetu. přednáška

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Od teorie k praxi víceúrovňové bezpečnosti

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Aplikovaná informatika

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.

Úvod - Podniková informační bezpečnost PS1-1

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Bezpečnostní politika společnosti synlab czech s.r.o.

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Bezpečnost IS. Základní bezpečnostní cíle

Informa ní bezpe nost I Management bezpe nosti informa ních systém - ISMS. michal.slama@opava.cz

Implementace BEZPEČNOSTNÍ POLITIKY v organizaci. RNDr. Luboš Číž, CISA, CISM DCIT, a.s.,

Bezpečnostní politika

Výčet strategií a cílů, na jejichž plnění se projektový okruh podílí: Strategický rámec rozvoje veřejné správy České republiky pro období

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Úvod - Podniková informační bezpečnost PS1-2

BEZPEČNOSTNÍ POLITIKA PRO BEZPEČNOST INFORMACÍ V ORGANIZACI

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

Věstník ČNB částka 18/2010 ze dne 21. prosince ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Systém řízení informační bezpečnosti (ISMS)

Provozování integrovaného podnikového systému. Jaroslav Šmarda

srpen 2008 Ing. Jan Káda

CYBER SECURITY. Ochrana zdrojů, dat a služeb.

Řízení informační bezpečnosti a veřejná správa

Zákon o kybernetické bezpečnosti

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

Bezpečnost informačních systémů

Bezpečnostní politika společnosti synlab czech s.r.o.

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi října 2011 r

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

Obrana sítě - základní principy

Efektivní řízení rizik ISMS. Luděk Novák, Petr Svojanovský ANECT a.s.

Bezpečností politiky a pravidla

Management rizik. Základní pojmy. Vzájemné vztahy při správě. Obecný postup analýzy rizik. Část identifikující rizika - analýza rizik

Implementace systému ISMS

Nástroje IT manažera

Zákon o kybernetické bezpečnosti: kdo je připraven?

Metodika zajištění ochrany kritické infrastruktury v oblasti výroby, přenosu a distribuce elektrické energie

NÁVRH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Tisk 81. Mgr. Jiří Malý duben 2014, PRAHA

Označení: Počet listů: 5 Verze: 1.0 SMĚRNICE ISMS. Název: Pravidla pro uživatele IT systémů. Vytvořil: Schválil: Účinnost od:

Příloha č. 1 Servisní smlouvy. Katalog služeb. S2_P1_Katalog služeb

Normy ISO/IEC NISS. V Brně dne 7. listopadu 2013

PB169 Operační systémy a sítě

Nástroje IT manažera

Důvěryhodná výpočetní základna -DVZ

IT v průmyslu MES systémy Leoš Hons. Bezpečnost v oblasti MES systémů - kde začít?

Kybernetická bezpečnost

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

Technická opatření dle zákona o kybernetické bezpečnosti verze 1.0

Zkušenosti s budováním základního registru obyvatel

Řízení rizik. RNDr. Igor Čermák, CSc.

Bezpečnost v ICT Anotace V souboru typu pdf uzpůsobenému k promítání jsou uvedeny informace o. Jazyk Autor. Firewall, záloha dat, antivir, zcizení dat

Bezpečnostní politika společnosti synlab czech s.r.o.

NÁVRH ZÁKONA o KYBERNETICKÉ BEZPEČNOSTI. JUDr. Radomír Valica ředitel odboru právního a legislativního NBÚ 3. října 2013, Praha

INFORMAČNÍ TECHNOLOGIE

Security Expert Center (SEC)

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

Management informační bezpečnosti

Management přepravy nebezpečných věcí na evropské a národní úrovni ve vztahu k systému krizového řízení ČR

POPIS CSIRT. Státní pokladna Centrum sdílených služeb, s. p. Vlastník dokumentu: Datum poslední aktualizace:

Zákon o kybernetické bezpečnosti

Cloud pro utajované informace. OIB BO MV 2012, Karel Šiman

OCTAVE ÚVOD DO METODIKY OCTAVE

KYBERNETICKÁ A INFORMAČNÍ VÁLKA

DŮVODOVÁ ZPRÁVA. Jednání Zastupitelstva městské části Praha Zbraslav. číslo: 20 Dne: Zpracovatel: OKT

Řízení rizik z pohledu bezpečnosti

Dnešní témata Informační systém, informační služba Podnikový informační systém

Outsourcing v podmínkách Statutárního města Ostravy

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

1.1. Správa a provozní podpora APV ROS, HW ROS a základního SW

Bezpečnostní politika a dokumentace

Nejbezpečnější prostředí pro vaše data

Příklad druhý, Politika používání mobilních PC (mpc)

Standardní operační postup (SOP) ČNRDD/M06/verze 01. Řešení mimořádných událostí

Náležitosti ICT plánu Cíl kapitoly. Základní pojmy. Kam patří ICT plán?

1. KURZ č. 1 - QMS - Školení a výklad normy ČSN EN ISO 9001: KURZ č. 2 - QMS - Školení interních auditorů QMS a metrologa

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Co obce mohou udělat pro GDPR už nyní. Medlov, Mgr. Miroslava Sobková

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

1.1 DATUM POSLEDNÍ AKTUALIZACE Toto je verze číslo 1 ze dne

Expresní analýza PLM. jako efektivní start implementace PLM.

Technická a organizační opatření pro ochranu údajů

Příloha č. 3: Technické zadání zakázky Instalace a služby pro technologické centrum MÚ Pohořelice

Bezpečnost aplikací Standardy ICT MPSV

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Kybernetická a informační bezpečnost (ale kdyby jenom to) Ing. Aleš Špidla

IDENTITY MANAGEMENT Bc. Tomáš PRŮCHA

Česká Telekomunikační Infrastruktura a.s

Transkript:

Bezepečnost IS v organizaci

analýza rizik Zabezpečení informačního systému je nutné provést tímto postupem: Zjistit zranitelná místa, hlavně to, jak se dají využít a kdo toho může zneužít a pravděpodobnost jejich zneužití. Nutno upřesnit možnosti obrany a zjistit možné škody případných útoků. Dle toho navrhnout protiopatření (administrativní, fyzické, preventivní, heuristické - snížení rizika, minimalizace jejich dopadů). Bezpečnostní opatření jsou charakteru personálního, administrativního, objektového a technického (kryptografická ochrana).

formální postup budování bezpečnosti is v organizaci Stanovit východiska pro studii bezpečnosti IS definovat požadavky na bezpečnost IS, cíle zabezpečení současný stav zabezpečení současný stav HW, SW...

Analýza rizik - AR Je nejdůležitější etapou při budování bezpečnosti v organizaci. Jejím cílem je identifikace (zvládnutí, odstranění) událostí, které mají nežádoucí vliv na aktiva organizace; zjištění hrozeb a rizik, kterým je IS vystaven; (Hrozbou pro informační systém je využití zranitelného místa k napadení, ať již úmyslné či neúmyslné.) určení škod, které mohou útokem vzniknout; určení opatření, která tato rizika minimalizují nebo odstraní a kolik tato opatření budou stát.

Postup při AR: 1. identifikace a ocenění aktiv; 2. nalezení zranitelných míst; 3. odhad pravděpodobností využití zranitelných míst; 4. výpočet očekávaných ztrát; 5. přehled použitelných opatření a jejich cen; 6. odhad ročních úspor zvolených aplikací někdy se provádí tzv. orientační AR, jejím výsledkem je zvolení jedné ze 4 následujících strategií analýzy rizik elementární AR jedná o převzetí již vytvořených standardů na základě podobných systémů +: rychlá, velmi nízké N, vynaložené na AR -: nemusí dojít ke zvolení optimálních opatření (příliš silná/slabá, příliš drahá...)

neformální AR stanovení na základě jednotlivých odborníků z oblasti bezpečnosti IS (interních/externích) +: rychlá, poměrně nízké N vynaložené na AR -: vyšší pravděpodobnost opomenutí některých rizik detailní AR použití standardizovaných strukturovaných metod ve všech zmíněných fázích AR +: malá pravděpodobnost opomenutí některých rizik -: vysoké finanční a čas. N na provedení AR kombinovaná AR kombinace předchozích přístupů +: dosažení optimální výše N vynaložených na AR

Stanovení bezpečnostní politiky - BP Bezpečnostní politika představuje souhrn bezpečnostních zásad a předpisů, určující přístup k datům a informačnímu systému a proškolování. Definuje způsob zabezpečení organizace od fyzické ostrahy, přes ochranu profesních zájmů až po ochranu soukromí a lidských práv. Aktiva informačního systému je nutno chránit - hardware, software, data. Celý informační systém se skládá z aktiv a lidí. Objekt informačního systému je pasivní soubor zpřístupňovaný aktivním subjektům (procesy, lidé). Citlivé informace jsou informace, které kdyby byly odcizeny, mohou firmu poškodit. Zranitelnost firmy je místní - špatně provedená analýza, složitost software nebo fyzická - loupež, povodeň, zemětřesení nebo se nebezpečí nachází v hardwaru, softwaru, či špatně nastaveném firewallu. Potenciální velmi významný zdroj nebezpečí představuje lidský faktor.

(Firewall je obecné řešení zajištění bezpečnosti, realizované pouze organizačními opatřeními, nebo jen pomocí softwaru (konfigurací směrovačů), nebo je to software i hardware. Každý Firewall má část zajišťující blokování a část zajišťující prostupnost toho, co je povoleno. Blokování se provádí konfigurací směrovačů (nepropuštění určitého druhu provozu) a pomocí paketových filtrů.)

BP vymezuje co vyžaduje ochranu proti jakým hrozbám je ochrana budována jakým způsobe se bude ochrana realizovat

Cíle BP: obecně je třeba zajistit: důvěrnost (ochrany soukromých dat, k datům má přístup pouze autorizovaná osoba, zamezení zneužití informací..) lze zajistit šifrováním, firewally, řízením přístupu k souborům... integritu (změnu dat může provést jen ten, kdo k tomu má právo) lze zajistit různými kryptografickými kontrolními součty... autentičnost (musí být jasné s jakým partnerem je vedena komunikace jeho identita, kdo provedl změnu v DB...) lze zajistit používáním hesel, el. podpisem... nepopiratelnost (nikdo nemůže popřít transakci, které se zúčastnil) např. pomocí el. podpisu dostupnost (je třeba oprávněným uživatelům umožnit přístup k datům) spolehlivost

Typy BP: podle úrovně zabezpečení se BP dělí do 4 obecných typů: promiskuitní BP pouze minimální nebo vůbec žádná bezpečnost, nikoho neomezuje, velmi nízké N na zřízení liberální BP každý může dělat vše až na věci explicitně zakázané, vyšší zabezpečení než předchozí, ekonomická nenáročnost opatrná (racionální) BP zakazuje dělat vše, co není explicitně povoleno, je nákladnější, ale zajišťuje vyšší zabezpečení paranoidní BP zakazuje dělat vše co by mohlo být potenciálně nebezpečné, tzn. i to co není zakázáno, zajišťuje nejvyšší zabezpečení.

Celková BP Uvádí zabezpečení IS na obecné úrovni. Specifikuje cíle, citlivá data, odpovědnosti za data, bezpečnostní infrastrukturu organizace, omezení, která musí bezpečnost IT organizace respektovat. Je vytvářena nezávisle na konkrétních používaných IT v organizaci. Je to veřejný dokument, který je závazný a je normou. Jeho cílem je ochrana majetku, činnosti, pověsti organizace. Jasně stanovuje hierarchii povinností odpovědností, pravomocí, jak pro lidi tak pro data. Musí být stručný a srozumitelný. Neobsahuje konkrétně jména ale pouze pozice z organizační struktury. Vypracovává se na delší dobu (5 10 let)

Systémová BP Definuje způsob implementace celkové BP v konkrétních podmínkách IT organizece. Vypracovává se na kratší časový horizont (2 5 let). Stanovuje soubor konkrétních principů a pravidel pro ochranu IS (cíle, hrozby, rizika, opatření, bezpečnostní fce). Je li IS organizace příliš rozsáhlý, vypracovává se zvlášť: Fyzická syst. BP (fyz. ochrana budov, PC, místností, serverů...) Personální syst. BP (ochrana před různými lidmi zákazníky, hackery, zaměstnanci.) Komunikační syst. BP (ochrana přenosu dat, komunikace, telefonů, faxů, dopisů) Provozní syst. BP (systém školení, jak postupovat při útoku, havárii...)

Bezpečnostní projekt realizace bezpečnostních opatření, plynoucích z AR a BP bezpečnostní funkce - bf (fce prosazující bezpečnost, bezpečnostní opatření) Tyto funkce realizují bezpečnostní cíle organizace. Ke stanovení BF je třeba znát zranitelná místa IS a možné formy útoků na tato místa. Podle okamžiku uplatnění je lze dělit na: preventivní: (odstranění některých zranitelných míst: antiviry, zamezení přístupu zaměstnancům na internet, školení...) heuristické: snižují riziko dané nějakou hrozbou (firewall, antivir) detekční a opravné: minimalizují účinek útoku (zálohování)

Podle způsobu implementace je lze dělit: SW charakteru (logické): dig. podpis, antiviry, zřizování uživ. účtů, kódování, šifrování Administrativního a správního charakteru: školení, normy, zákony, vyhlášky... HW charakteru: identifikační karty, šifrovače, firewally, záložní kopie dat a programů Fyzického charakteru: stínění, trezory, zámky, záložní zdroje...

HAVARIJNÍ PLÁN Určuje co dělat v případě, že dojde k některému z útoků a jak postupovat aby se udržela kontinuita organizace. Každá organizace, které hrozí nějaký útok by ho měla mít (ale většinou tomu tak není) Měl by být uložen na takovém místě, aby byl každému dostupný. Pracovníci by s ním měli být seznámeni. Je třeba aby byl v aktuální verzi >> je třeba ho testovat a aktualizovat vzhledem k rychlému vývoji IS/IT. Obsahuje: průběh reakce na incident jak se zachovat v případě útoku, co a komu a kam nahlásit, stanovení týmu pro řešení incidentu... plán činnosti po útoku vymezuje pravidla chování po útoku (kdo, co dělá) plán obnovy jak postupovat při obnově činnosti IS po havárii: priority funkcí, které mají být obnoveny, role jednotlivých pracovníků, jejich povinnosti a odpovědnost...

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář