Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

BIS Analýza rizik Roman Danel VŠB – TU Ostrava.

Podobné prezentace


Prezentace na téma: "BIS Analýza rizik Roman Danel VŠB – TU Ostrava."— Transkript prezentace:

1 BIS Analýza rizik Roman Danel VŠB – TU Ostrava

2 Analýza rizik Co se stane, když informace nebudou chráněny? Jak může být porušena bezpečnost informací? S jakou pravděpodobností se to stane?

3 Co je cílem? Zajištění důvěrnosti dat Zajištění integrity dat Zajištění dostupnosti

4 Analýza rizik - pojmy aktivum (asset) – vše co má pro společnost nějakou hodnotu a mělo by být odpovídajícím způsobem chráněno, hrozba (threat) – jakákoliv událost, která může způsobit narušení důvěrnosti, integrity a dostupnosti aktiva zranitelnost (vulnerability) – vlastnost aktiva nebo slabina na úrovni fyzické, logické nebo administrativní bezpečnosti, která může být zneužita hrozbou. riziko – pravděpodobnost, že hrozba zneužije zranitelnost a způsobí narušení důvěrnosti, integrity nebo dostupnosti. opatření (countermeasure) – opatření na úrovni fyzické logické nebo administrativní bezpečnosti, které snižuje zranitelnost a chrání aktivum před danou hrozbou

5 Pojmy – Hrozba (Threat) Incident Výpadek kritické komponenty (Singl Point of Failure) Smrt klíčové osoby (Single Point of Knowledge)

6 Pojmy - Damage Škoda – Finanční – Právní – Reputace – Operativní

7 Pojmy – Riziko (Risk) Pravděpodobnost události a její důsledek

8 Analýza rizik - pojmy ohrožení (exposure) – skutečnost, že existuje zranitelnost, která může být zneužita hrozbou narušení (breach) – situace, kdy došlo k narušení důvěrnosti, integrity nebo dostupnosti v důsledku překonání bezpečnostních opatření.

9 Security Autentizace Autorizace Accountability – je možné zjistit, kdo udělal danou operaci?

10 Definování aktiv Aktiva jsou cokoliv, co má pro organizaci hodnotu: fyzická aktiva (např. počítačový hardware, komunikační prostředky, budovy informace (dokumenty, databáze,...) software schopnost vytvářet určité produkty nebo poskytovat služby – know-how pracovní sílu, školení pracovníků, znalosti zaměstnanců, zapracování apod. nehmotné hodnoty (např. abstraktní hodnota firmy, image, dobré vztahy atd..)

11 Analýza rizik – druhy hrozeb Hrozby Fyzické SoftwareLidé Přírodní vlivy Selhání HW Výpadek napájení VnějšíChyby SWVnitřníVnější ÚmyslnéNeúmyslné

12 Risk Management 1.Co se může stát? 2.Jaká je pravděpodobnost, že se to stane? 3.Jaké jsou důsledky, když se to stane? 4.Co můžeme udělat? 5.Jaké jsou náklady, benefity a rizika každé varianty?

13 Normy BS 7799 ISO/IEC TR – Definuje 4 způsoby analýzy rizik (základní přístup, neformální přístup, podrobná analýza rizik, kombinovaný přístup)

14 Metodiky pro Analýzu rizik ALE – 70.léta CRAMM (CCTA Risk Analysis and Management Method) – BS7799 – ISO/IEC 27001:2005 OCTAVE-S (Operationally Critical Threat, Asset and Vulnerability Evaluation) RISK IT Cobra, Marion, NetRecon, RiscPAC

15 Pojmy z metodik ARO – Annualized Rate of Occurence – pravděpodobnost výskytu hrozby za rok SLE – Single Loss Exposure – ztráta při jednom výskytu hrozby

16 ALE Annualized Loss Expectancy Kvantitativní metoda Předpokládané škody a náklady na obnovu Vyjadřuje se v penězích Nevýhoda: náročnost na provedení

17 CRAMM Organizace CCTA, 1985, metodika Pro nasazení nutné proškolení Verze 4 zahrnuje normu ISO Ceněn mezi auditory Rozhraní na SSADM (strukturovaná analýza a design) a PRINCE (Project in Controlled Environment)

18 CRAMM Databáze informací, zahrnující: hrozby, slabiny a protiopatření Identifikace a ocenění aktiv Seskupení aktiv do logických skupin a stanovení hrozeb; odhad zranitelnosti a stanovení požadavků na bezpečnost pro jednotlivé skupiny Návrh protiopatření pro ochranu aktiv

19 CRAMM Výhoda – Komplexnost – Objektivita Nevýhoda – Nepřehlednost výstupů – Složitost

20 Metodika OCTAVE-S

21 OCTAVE-S

22 Metodika RISK IT

23 Risk IT Late project delivery Not achieving enough value from IT Compliance Misalignment Obsolete or inflexible IT architecture IT service delivery problems

24 What RiskIT offers? Provides guidance to help executives and management ask the key questions, make better, more informed risk-adjusted decisions and guide their enterprises so risk is managed effectively Helps save time, cost and effort with tools to address business risks Integrates the management of IT-related business risks into overall enterprise risk management Helps leadership understand the enterprise’s risk appetite and risk tolerance Provides practical guidance driven by the needs of enterprise leadership around the world

25 RiskIT tree

26 RiscPAC Analytický nástroj od firmy CPA Expertní systém pro analýzu rizik Automatizace dotazníkových přístupů RecoveryPAC – program pro vytváření plánů obnovy funkčnosti IS

27 Postup analýzy rizik Stanovení hranice Identifikace aktiv Stanovení hodnoty aktiv (+seskupení) Identifikace hrozeb Analýza hrozeb Pravděpodobnost jevu Měření rizika

28 Případová studie tema.blogspot.com/2007/11/ppadov-studie- analzy-rizik-informan.html

29 Kvalitativní metodiky Popis výši dopadu, hrozeb a zranitelnosti pomocí diskrétní škály (interval 1 až 10) nebo slovního popisu (velmi nízká – nízká – vysoká…) Výhoda: snadná proveditelnost, rychlost Nevýhoda: subjektivní posuzování Příklad: metoda Delphi

30 Bezpečnostní studie Odhad hrozeb Škoda způsobená incidentem – dočasná, trvalá Analýza zranitelnosti Odhad dopadů incidentu: – Stanovením finančních nákladů – Stupnice 1-10 – Ohodnocení – nízký, střední, vysoký Analýza rizik: riziko je potenciální možnost, že daná hrozba využije zranitelnosti

31 Bezpečnostní studie Přijetí zbytkových rizik Stanovení omezení – organizační – finanční – personální – právní – technická

32 ISO Požadavky na systém managementu bezpečnosti informací, revize 2013 Snížení rizika úniku citlivých informací Verze 2005 – soulad se zákonem na ochranu osobních údajů Vhodný pro státní správu, telekomunikační společnosti, IT firmy… model Plánuj-Dělej-Kontroluj-Jednej (Plan-Do- Check-Act, PDCA)

33 ISO Soulad s legislativními požadavky (Zákon č. 101/2000 Sb. o ochraně osobních údajů) Vybudování systémového přístupu k ochranně informací Snížení rizik s únikem či zneužitím důvěrných informací, Zlepšení důvěry zákazníků a zvýšení image firmy

34 ISO Řada norem ISO 2700x Analýza podle normy BS7799 (ISO 27001) se využívá v případech, kdy se organizace rozhodne k zavedení systému řízení bezpečnosti informací (ISMS) a jeho následné certifikaci. V rámci analýzy je možné vytvářet bezpečnostní politiku organizace, provádět hodnocení rizik.

35 Bezpečnostní politika BP má za úkol zajistit bezpečnost IS s přihlédnutím k nákladové efektivitě a musí odpovídat na tyto otázky: Kdo nese zodpovědnost? Kdy to bude efektivní? Jak to bude vynuceno? Kdy a jak to bude uvedeno do praxe?

36 Standardní kroky řešení bezpečnosti studie informační bezpečnosti – aktuální stav, riziková analýza, tvorba bezpečnostní politiky - vytýčení cílů, bezpečnostní standardy – pro naplnění cílů bezpečnostní politiky, bezpečnostní projekt – technická opatření, implementace bezpečnosti – nasazení výše uvedeného, monitoring a audit – prověřování, zda vytvořené bezpečnostní mechanismy odpovídají dané situaci.

37 Bezpečnostní dokumentace

38 jednoznačné stanovení povinností a odpovědností uživatelů IS organizace. Všichni zaměstnanci budou znát konkrétní odpovědnosti a povinnosti při práci s informačním systémem. Zvýší se bezpečnostní povědomí uživatelů o informační bezpečnosti. Sníží se riziko úniku dat, např. prostřednictvím ové komunikace apod. Omezení „absolutní moci“ administrátorů a správců. Snadnější zajištění zastupitelnosti klíčových zaměstnanců (administrátorů a správců).

39 Havarijní plán Postup a reakce v případě havárie, poruchy nebo nefunkčnosti IS Součást Bezpečnostní politiky Uživatel IS by měl vědět KOHO a JAK informovat v případě poruchy

40 OECD 1992 – „Guidelines for the security of information systems“

41 BCM Business Continuity Management BCM je manažerská disciplína, která se zaměřuje na identifikaci potencionálních dopadů, jež organizaci hrozí po havárii. Vytváří rámec pro zajištění určité míry odolnosti a schopnosti reagovat na neočekávané události. Havarijní plány a plány obnovy

42 Implementace bezpečnosti Tvorba bezpečnostní dokumentace Zavedení bezpečnostních procesů a rolí Implementace konkrétních mechanismů Zavedení kontroly bezpečnosti - audit

43 Implementace mechanismů Antiviry Bezpečná topologie sítě Firewall Fraud Detection System (FDS) Šifrování PKI (Infrastruktura veřejných klíčů) systémy DLP (Data Loss Prevention)


Stáhnout ppt "BIS Analýza rizik Roman Danel VŠB – TU Ostrava."

Podobné prezentace


Reklamy Google