Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Podobné dokumenty
Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Vzorové analýzy rizik zpracování v cloudu. Zdeněk Jiříček National Technology Officer Microsoft ČR

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Zákon o kybernetické bezpečnosti

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

V Brně dne 10. a

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad

Bezpečnostní politika společnosti synlab czech s.r.o.

Posuzování na základě rizika

Bezepečnost IS v organizaci

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Zákon o kybernetické bezpečnosti

V Brně dne a

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

Od teorie k praxi víceúrovňové bezpečnosti

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI. JUDr. Mgr. Barbora Vlachová judr.vlachova@ .cz

Bezpečnost aplikací Standardy ICT MPSV

Implementace systému ISMS

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

Řízení rizik ICT účelně a prakticky?

Bezpečnostní opatření pro některé z oblastí kritické infrastruktury. Vladimír ROHEL

ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ

Informační bezpečnost. Dana Pochmanová, Boris Šimák

GDPR & Cloud. Mgr. Jana Pattynová, LL.M

Návrh VYHLÁŠKA. ze dne 2014

ISVS v cloudu? ANO! Ing. Václav Koudele, Ing. Zdeněk Jiříček

o Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná

Bezpečnost na internetu. přednáška

316/2014 Sb. VYHLÁŠKA ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ

Novela zákona o kybernetické bezpečnosti Směrnice NIS. Jan Zahradníček

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Profesionální a bezpečný úřad Kraje Vysočina

Technologie pro budování bezpe nosti IS technická opat ení.

b) aktivem primární aktivum a podpůrné aktivum, c) primárním aktivem informace nebo služba, kterou zpracovává nebo poskytuje informační systém

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

egrc řešení - nástroj pro efektivní řízení bezpečnosti dle kybernetického zákona Marian Němec AEC a.s.

Státní pokladna. Centrum sdílených služeb

SBÍRKA ZÁKONŮ. Ročník 2014 ČESKÁ REPUBLIKA. Částka 127 Rozeslána dne 19. prosince 2014 Cena Kč 109, O B S A H :

PREZENTACE PRO ŽADATELE K 10. VÝZVĚ IROP KYBERNETICKÁ BEZPEČNOST BRNO Ing. Andrea Jonštová, konzultace dotačních programů

Hodnocení rizik v resortu Ministerstva obrany

Zkušenosti z nasazení a provozu systémů SIEM

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi října 2011 r

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

Příloha Vyhlášky č.9/2011

egc tým Bezpečnost Hodnocení dopadů a zařazování do bezp. úrovní Závazná bezpečnostní opatření pro dodavatele

RENOMIA POJIŠTĚNÍ KYBERNETICKÝCH RIZIK

Kybernetická bezpečnost

Návrh VYHLÁŠKA. ze dne 2014

VÝBĚR CLOUDU, ANEB JAK ZVOLIT TEN NEJLEPŠÍ

Implementace ZKB. Ing. Miroslav Jaroš. Energetický regulační úřad.

Není cloud jako cloud, rozhodujte se podle bezpečnosti

ÚVOD DO GDPR. Mgr. Jana Pattynová, LL.M

Microsoft Services Premier Support. Implementace Zákona o kybernetické bezpečnosti

Bezpečnostní politika

SBÍRKA ZÁKONŮ. Ročník 2018 ČESKÁ REPUBLIKA. Částka 43 Rozeslána dne 28. května 2018 Cena Kč 106, O B S A H :

Zákon o kybernetické bezpečnosti na startovní čáře

PRIVACY POLICY. Issued / vydáno dne: Written by / vypracoval: Mgr. Michaela Škrabalová. Revised by / revidoval: ---

Management přepravy nebezpečných věcí na evropské a národní úrovni ve vztahu k systému krizového řízení ČR

Nejbezpečnější prostředí pro vaše data

Hodnocení úrovně bezpečnostních dopadů a zařazování do bezpečnostních úrovní egc

Představení služeb DC SPCSS Státní pokladna Centrum sdílených služeb

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

Bezpečnostní politika a dokumentace

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

RENOMIA POJIŠTĚNÍ KYBERNETICKÝCH RIZIK

Protecting Data in Microsoft Online Services. Studie zpracovaná na základě poptávky Microsoft s.r.o. Zakázka: MICR Verze: 2.

Zákon o kybernetické bezpečnosti Obecný přehled ZKB se zaměřením na technická opatření

Nabídka kurzů k systému řízení bezpečnosti informací (ISMS) ČSN ISO/IEC 27001:2014

Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu

srpen 2008 Ing. Jan Káda

Kybernetická bezpečnost III. Technická opatření

Označení: Počet listů: 5 Verze: 1.0 SMĚRNICE ISMS. Název: Pravidla pro uživatele IT systémů. Vytvořil: Schválil: Účinnost od:

Zkušenosti s budováním základního registru obyvatel

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

Strana 1 / /2014 Sb. VYHLÁKA ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ

NÁVRH ZÁKONA o KYBERNETICKÉ BEZPEČNOSTI. JUDr. Radomír Valica ředitel odboru právního a legislativního NBÚ 3. října 2013, Praha

Dodatek č. 1 Detailního návrhu technického řešení informačních systémů e- Sbírka a e-legislativa

Security Expert Center (SEC)

ISMS. Síťová bezpečnost. V Brně dne 7. a 14. listopadu 2013

Příprava IS na příchod GDPR se zaměřením na ISP. Jan Zahradníček AK Velíšek & Podpěra

Řízení rizik z pohledu bezpečnosti

VYHLÁŠKA. ze dne 21. května 2018,

Úvod - Podniková informační bezpečnost PS1-2

Template pro oznámení porušení zabezpečení osobních údajů

Informa ní bezpe nost I Management bezpe nosti informa ních systém - ISMS. michal.slama@opava.cz

Směrnice upravující eliminaci rizik při správě osobních údajů technicko-organizační opatření

Efektivní řízení rizik ISMS. Luděk Novák, Petr Svojanovský ANECT a.s.

OCTAVE ÚVOD DO METODIKY OCTAVE

Spisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.)

Bezpečná výměna souborů mezi vnitřní a vnější sítí organizace. Autor: Martin Hanzal, CTO SODATSW spol. s r. o., Horní 32, Brno, Czech Republic

Management bezpečnosti informací dle ISO 27001:2006. Zkušenosti se zaváděním ve společnosti SYSCOM SOFTWARE s.r.o.

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI A NAVAZUJÍCÍ PROVÁDĚCÍ PŘEDPISY

Řízení informační bezpečnosti a veřejná správa

Transkript:

Zbytková rizika Typ aktiv Aktivum Hrozba Zranitelnost Částečná úroveň rizika Snížení hrozby Snížení zranit. Zbytkové Namapovaná opatření Riziko C I A T MAX Hodnota MAX Hodnota riziko ISO? specif.? Datová aktiva Datová aktiva Zneužití práv (neoprávněná akce obsluhy) Zneužití oprávnění pracovníky správce 2 1 1 1 6 2 2 4 4 6 Datová aktiva Zneužití práv (neoprávněná akce obsluhy) Zneužití oprávnění pracovníky poskytovatele 2 1 1 1 6 2 2 4 1 3 X Datová aktiva Nesprávné řízení bezpečnosti Nesprávné vyhodnocení SLA 2 1 1 1 5 1 1 4 4 5 Datová aktiva Nesprávné řízení bezpečnosti Regulatorní nesoulad způsobený poskytovatelem 2 1 1 1 5 1 1 4 2 3 X Služby Služba Exchange Online Neoprávněný přístup k aktivu interními pracovníky nebo dodavateli služeb Zneužití přístupových údajů a klíčů 2 1 1 7 3 2 4 1 3 X Služba Exchange Online Neoprávněný přístup k aktivu cizími osobami Zneužití přístupových údajů a klíčů (útok hackerů) 2 1 1 8 4 2 4 1 3 X Služba Exchange Online Zneužití systémových zdrojů Obecná zranitelnost u správce 2 1 1 5 1 1 4 4 5 Služba Exchange Online Zavedení škodlivého software Obecná zranitelnost ze strany správce 2 1 1 7 3 2 4 1 3 X Služba Exchange Online Popření Obecná zranitelnost 2 1 1 6 2 1 4 2 3 X Služba Exchange Online Napadení komunikace Obecná zranitelnost 2 1 1 6 2 2 4 1 3 X Služba Exchange Online Přerušení komunikace Obecná zranitelnost 1 5 2 2 4 3 4 X Služba Exchange Online Kybernetický útok z komunikační sítě Obecná zranitelnost (útok hackerů) 2 1 1 8 4 2 4 1 3 X Služba Exchange Online Selhání hardware nebo média Obecná zranitelnost u poskytovatele 1 1 5 2 1 4 1 1 X Služba Exchange Online Selhání software Obecná zranitelnost u poskytovatele 2 1 1 6 2 1 4 1 2 X Služba Exchange Online Selhání podpory prostředí (vč. přírodních katastrof) Obecná zranitelnost u poskytovatele 1 5 2 1 4 1 1 X Služba Exchange Online Selhání údržby Obecná zranitelnost u poskytovatele 2 1 1 6 2 1 4 1 2 X Služba Exchange Online Chyba uživatele Obecná zranitelnost u správce 2 1 1 6 2 2 4 3 5 X Služba Exchange Online Prozrazení informaci z vyřazené komponenty nebo média Obecná zranitelnost 2 6 2 1 4 2 3 X Služba Exchange Online Úmyslné poškození interními pracovníky Obecná zranitelnost (vandalismus) 1 4 1 1 4 2 2 X Služba Exchange Online Úmyslné poškození externími pracovníky Obecná zranitelnost 1 4 1 1 4 1 1 X Služba Exchange Online Nesprávné řízení bezpečnosti Obecná zranitelnost u poskytovatele 2 1 1 6 2 1 4 1 2 X Služba komunikace s externími IZavedení škodlivého software Zranitelnost u příchozích zpráv 2 1 1 7 3 2 4 2 4 X Služba komunikace s externími IPopření Obecná zranitelnost 2 1 1 6 2 1 4 2 3 X Služba komunikace s externími INapadení komunikace Zranitelnost u příchozích zpráv 2 1 1 7 3 3 4 4 7 Služba komunikace s externími INapadení komunikace Zranitelnost u odchozích zpráv 2 1 1 7 3 3 4 2 5 X Služba komunikace s externími IPřerušení komunikace Obecná zranitelnost 1 5 2 2 4 3 4 X Služba komunikace s externími IKybernetický útok z komunikační sítě Obecná zranitelnost (útok hackerů) 2 1 1 8 4 2 4 1 3 X Služba komunikace s externími INáhodné přesměrování Zranitelnost u odchozích zpráv 2 1 6 2 2 4 2 4 X Služba komunikace s externími IChyba uživatele Zranitelnost u odchozích zpráv 2 1 1 7 3 3 4 1 4 X Služba Azure AD Neoprávněný přístup k aktivu interními pracovníky nebo dodavateli služeb Zneužití přístupových údajů a klíčů 2 2 1 7 3 2 4 1 3 X Služba Azure AD Neoprávněný přístup k aktivu cizími osobami Zneužití přístupových údajů a klíčů (útok hackerů) 2 2 1 8 4 2 4 1 3 X Služba Azure AD Popření Obecná zranitelnost 2 2 1 6 2 1 4 2 3 X Služba Azure AD Napadení komunikace Obecná zranitelnost 2 2 1 6 2 2 4 1 3 X Služba Azure AD Přerušení komunikace Obecná zranitelnost 1 5 2 2 4 3 4 X Služba Azure AD Kybernetický útok z komunikační sítě Obecná zranitelnost (útok hackerů) 2 2 1 8 4 2 4 1 3 X Služba Azure AD Selhání hardware nebo média Obecná zranitelnost u poskytovatele 2 1 6 2 1 4 1 2 X Služba Azure AD Selhání software Obecná zranitelnost u poskytovatele 2 2 1 6 2 1 4 1 2 X Služba Azure AD Selhání podpory prostředí (vč. přírodních katastrof) Obecná zranitelnost u poskytovatele 1 5 2 1 4 1 1 X Služba Azure AD Selhání údržby Obecná zranitelnost u poskytovatele 2 2 1 6 2 1 4 1 2 X Služba Azure AD Chyba uživatele Obecná zranitelnost u správce 2 2 1 6 2 2 4 3 5 X Služba Azure AD Prozrazení informaci z vyřazené komponenty nebo média Obecná zranitelnost 2 6 2 1 4 1 2 X Služba Azure AD Úmyslné poškození interními pracovníky Obecná zranitelnost (vandalismus) 1 4 1 1 4 2 2 X Služba Azure AD Úmyslné poškození externími pracovníky Obecná zranitelnost 1 4 1 1 4 1 1 X Služba Azure AD Nesprávné řízení bezpečnosti Obecná zranitelnost u poskytovatele 2 2 1 6 2 1 4 1 2 X Software

Hardware a média Lokality Personál

Pokrytí rizik opatřeními V následující tabulce jsou uvedena všechna rizika a pro každé riziko jsou uvedena všechna opatření, která byla vybrána pro jeho snižování. Typ Inheren. Zbytk. Riziko (zkratka rizika) aktiv riziko riziko Vybraná opatření pro zvládání rizika Datová aktiva Uložená data / Zneužití práv / Zneužití interní 6 6 Uložená data / Zneužití práv / Zneužití externí 6 3 I-4-0 Organizační bezpečnost I-7-0 Bezpečnost lidských zdrojů I-9-0 Řízení přístupu osob I-13-0 Kontrola a audit Uložená data / Nespr. řízení bezp. / Vyhodnocení SLA 5 5 Uložená data / Nespr. řízení bezp. / Regulatorní nesoulad 5 3, body 6, 7, 8 a 10 Služby Exchange Online / Neopráv. přístup intern. prac. / Obecná 7 3 I-9-0 Řízení přístupu osob Exchange Online / Neopráv. přístup ext. prac. / Obecná 8 3 Exchange Online / Zneužití zdrojů / Obecná 5 5 Exchange Online / Škodlivý SW / Obecná 7 3 II-5-0 Nástroj pro ochranu před škodlivým kódem Exchange Online / Popření / Obecná 6 3 Exchange Online / Napadení komun. / Obecná 6 3 Exchange Online / Přeruš. komun. / Obecná 5 4 Exchange Online / Kyber. útok / Obecná 8 3 II-7-0 Nástroj pro detekci kybernetických bezpečnostních událostí Exchange Online / Selh. HW / Obecná 5 1 Exchange Online / Selh. SW / Obecná 6 2 Exchange Online / Selh. podpory / Obecná 5 1

Exchange Online / Selh. údržby / Obecná 6 2 Exchange Online / Chyba uživatele / Obecná 6 5 Exchange Online / Prozr. inf. z média / Obecná 6 3 I-6-0 Řízení aktiv Exchange Online / Poškození int. prac. / Obecná 4 2 I-7-0 Bezpečnost lidských zdrojů I-13-0 Kontrola a audit Exchange Online / Poškození ext. prac. / Obecná 4 1 I-9-0 Řízení přístupu osob Exchange Online / Nespr. řízení bezp. / Obecná 6 2 I-1-0 Systém řízení bezpečnosti informací I-2-0 Řízení rizik I-3-0 Bezpečnostní politika I-6-0 Řízení aktiv Kom. s ext. IS / Škodlivý SW / Obecná příchozí 7 4 II-5-0 Nástroj pro ochranu před škodlivým kódem Kom. s ext. IS / Popření / Obecná odchozí 6 3 Kom. s ext. IS / Napadení komun. / Obecná příchozí 7 7 Kom. s ext. IS / Napadení komun. / Obecná odchozí 7 5 I-7-0 Bezpečnost lidských zdrojů Kom. s ext. IS / Přeruš. komun. / Obecná 5 4 Kom. s ext. IS / Kyber. útok / Obecná 8 3 II-7-0 Nástroj pro detekci kybernetických bezpečnostních událostí Kom. s ext. IS / Náhod. přesměřování / Obecná odchozí 6 4 I-7-0 Bezpečnost lidských zdrojů Kom. s ext. IS / Chyba uživatele / Obecná odchozí 7 4 I-7-0 Bezpečnost lidských zdrojů Azure AD / Neopráv. přístup intern. prac. / Obecná 7 3 I-9-0 Řízení přístupu osob

Azure AD / Neopráv. přístup ext. prac. / Obecná 8 3 Azure AD / Popření / Obecná 6 3 Azure AD / Napadení komun. / Obecná 6 3 Azure AD / Přeruš. komun. / Obecná 5 4 Azure AD / Kyber. útok / Obecná 8 3 II-7-0 Nástroj pro detekci kybernetických bezpečnostních událostí Azure AD / Selh. HW / Obecná 6 2 Azure AD / Selh. SW / Obecná 6 2 Azure AD / Selh. podpory / Obecná 5 1 Azure AD / Selh. údržby / Obecná 6 2 Azure AD / Chyba uživatele / Obecná 6 5 Azure AD / Prozr. inf. z média / Obecná 6 2 I-6-0 Řízení aktiv Azure AD / Poškození int. prac. / Obecná 4 2 I-7-0 Bezpečnost lidských zdrojů I-13-0 Kontrola a audit Azure AD / Poškození ext. prac. / Obecná 4 1 I-9-0 Řízení přístupu osob

Azure AD / Nespr. řízení bezp. / Obecná 6 2 I-1-0 Systém řízení bezpečnosti informací I-2-0 Řízení rizik I-3-0 Bezpečnostní politika I-6-0 Řízení aktiv Software Hardware a média Lokality Personál

Poznámky k analýze rizik Uplatnění ohodnocení aktiv Přiřazení hrozby k aktivu mj. definuje, které ohodnocení aktiva (podle důvěrnosti, integrity, dostupnosti a úplné ztráty) je následně při výpočtu rizika použito. Vždy je použita nejvyšší hodnota z hodnocení daného aktiva relevantního k dané hrozbě. Například v případě hrozby "Technické selhání hostitelského počítače, úložiště nebo síťové infrastruktury" není u příslušných aktiv zohledňováno ohodnocení z pohledu důvěrnosti, která většinou není touto hrozbou narušena, ale je použito maximální ohodnocení aktiva z pohledu integrity, dostupnosti a úplné ztráty. Použití inherentních rizik U inherentních rizik nejsou brána do úvahy žádná existující bezpečnostní opatření a proto je zranitelnost vždy nastavena na hodnotu 4 (Kritická). Jedná se tedy o teoretickou maximální hodnotu rizika uváděnou zejména za účelem porovnání s výslednou úrovní zbytkového rizika po implementaci opatření. Výpočet inherentních rizik Pro výpočet inherentních rizik je použit "vzorec" riziko = dopad (prostřednictvím hodnoty aktiva) + hrozba + zranitelnost - 2 Výpočet zbytkových (reziduálních) rizik Pro výpočet zbytkových rizik je použit stejný "vzorec" riziko = dopad (prostřednictvím hodnoty aktiva) + hrozba + zranitelnost - 2 s tím rozdílem, že v důsledku implementace opatření jsou upraveny (sníženy) hodnoty hrozby a zranitelnosti.

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář