Roman Danel VŠB – TU Ostrava

Slides:



Advertisements
Podobné prezentace
Presentation Title.
Advertisements

Konference "Bezpečnost v podmínkách organizací a institucí ČR"
managementu znalostí podle
Audit administrativních činností
NĚKTERÉ ZKUŠENOSTI ZE ZAVÁDĚNÍ ISO 27001
Strategie informační bezpečnosti
TEORETICKÉ OTÁZKY BEZPEČNOSTI
Audit IT procesů ve FNOL
Efektivní informační bezpečnost
Daniel Kardoš Ing. Daniel Kardoš
1 E - S V Ě T S E T O Č Í S T Á L E R Y C H L E J I. S T A Č Í T E M U ? Praktická realizace bezpečnostních požadavků standardů ISVS při tvorbě.
Město Šlapanice průkopník moderního řízení ve veřejné správě 20. února Národní konference kvality ve veřejné správě.
Management kontinuity činností organizace
SW podpora krizového řízení Duben 2006 Tomáš Fröhlich, DiS. ISSS 2007.
Projekt zavádění jednotné bezpečnostní politiky v prostředí VZP ČR
Ochrana aktiv v malé firmě Bakalářská práce Pavel Šnajdr – Aplikovaná informatika.
Koncepce environmentální bezpečnosti
Informační strategie. řešíte otázku kde získat konkurenční výhodu hledáte jistotu při realizaci projektů ICT Nejste si jisti ekonomickou efektivností.
Jaromír Skorkovský ESF MU KAMI
ITIL Information Technology Infrastructure Library.
Ochrana citlivých zdravotnických dat pacientů systémem řízení bezpečnosti informací podle normy ČSN/BS :2004 Ing. Daniel Kardoš.
ISMS v KSRZIS (Koordinační středisko pro rezortní zdravotnické informační systémy) František Henkl.
Zkušenosti se zaváděním systému řízení v KSRZIS podle:
Systém managementu jakosti
Luděk Novák dubna 2006 Proč a jak řídit informační rizika ve veřejné správě.
ISMS VE STÁTNÍ SPRÁVĚ A SAMOSPRÁVĚ
Podpora a rozvoj komunikační infrastruktury ISVS Ing. Lubomír Moravčík
Zkušenosti ze zavedení systému řízení kvality informačních služeb
Informačnípodpora řízení kvality ve firmě Informační podpora řízení kvality ve firmě CRM Ekonomický systém Personalistika Datová pumpa Akord Software Datový.
Daniel Kardoš Ing. Daniel Kardoš
Projekt realizace referenčního rozhraní Ing. Jan Pokorný Ministerstvo informatiky ČR ISSS, 5. dubna 2005.
Bezpečnost informačních systémů - nástroje pro podporu řešení bezpečnosti Nemochovský František ISSS Hradec Králové, března 2004.
ESET - služby informační bezpečnosti Filip Navrátil, Sales Engineer, ESET software spol. s
Analýza rizik Miroslav Čermák.
Zásady řešení informační bezpečnosti
BIS Firewall Roman Danel VŠB – TU Ostrava.
Zkušenosti se zaváděním systému řízení ochrany informací podle ČSN BS ČSN ISO//IEC ve městě Vsetín Stanislava Konečná Vedoucí odboru kanceláře.
Realizační tým ICZ duben 2005
Vaše jistota na trhu IT Vybudování a provozování e-spisovny Josef Sedláček ICZ a.s.
Nebezpečí webových aplikací Tomáš Strýček Invex Forum Brno
Zkušenosti ze zavedení systému řízení bezpečnosti informací ve shodě s ISO a ISO na Ministerstvu zdravotnictví ČR Ing. Fares Shima Ing. Fares.
2005 Adobe Systems Incorporated. All Rights Reserved. 1 Inteligentní PDF formuláře Vladimír Střálka Territory Account Manager Adobe Řešení pro.
Copyright (C) 1999 VEMA počítače a projektování, spol. s r.o.
Řešení informační bezpečnosti v malých a středních firmách Pavel Šnajdr – Informační management 2 Diplomová práce.
Risk Analysis Consultants s.r.o
Informační bezpečnost jako rámec ochrany osobních údajů v orgánech veřejné správy Hradec Králové
Přístup k řešení bezpečnosti IT Nemochovský František ISSS Hradec Králové, dubna 2005.
STÁTNÍ INFORMAČNÍ POLITIKA E-Government a elektronický podpis Ing. Karel Březina ministr a předseda Rady vlády pro státní informační politiku.
Bezpečnostní politika
IAF MD 18:2015 Aplikace ISO/IEC 17021:2011 v oblasti řízení služeb (ISO/IEC )
ANALÝZA A PROJEKTOVÁNÍ SYSTÉMŮ Analýza rizik
Projektový management Certifikace a normy Ing. Roman Danel, Ph.D. Institut ekonomiky a systémů řízení Hornicko–geologická fakulta VŠB-TU.
Personální plán pro podnikatelský plán
Trendy v řešení bezpečnosti informací (aspekty personalistiky) F.S.C. BEZPEČNOSTNÍ PORADENSTVÍ a.s. Tomáš Kubínek
© IHAS 2011 Tento projekt je financovaný z prostředků ESF prostřednictvím Operačního programu Vzdělávání pro konkurenceschopnost a státního rozpočtu ČR.
Personální audit - cesta k efektivitě využívání lidských zdrojů.
Úvodní schůzka k projektu „Optimalizace procesů a nastavení způsobu komunikace“ Fulnek
Stalo se … příběh jednoho „průšvihu“ Ing.Tomáš Boubelík PhDr.Iva Moravcová Mgr.Oldřich Smola.
IP firmy Informační politika a firmy „Strategie vytváření podmínek, cílů a priorit v oblasti informačních procesů zejména zdokonalováním informačních.
SIKP – Státní informační a komunikační politika Prezentace – aplikace vybraných zákonů ve společnosti NeXA, s.r.o. Eva Štíbrová Zdeňka Strousková Radka.
Mezinárodní konference ICT Fórum PERSONALIS 2006 Procesní řízení informační bezpečnosti ve státní správě Ing. Jindřich KODL, CSc. Praha
KONCEPCE ENVIRONMENTÁLNÍ BEZPEČNOSTI Základní dokumenty Bezpečnostní strategie NATO Mezinárodní strategie pro snižování rizika katastrof OSN.
IS jako nástroj moderního personálního managementu Vít Červinka
Integrated and Planned Enforcement of Environmental Law Phare Twinning Project CZ03/IB/EN/01 1 EMS jako součást Integrovaného povolování a inspekce Rob.
SAFETY 2017 Význam a zásady fyzické bezpečnosti při ochraně (nejen) utajovaných informací. Hradec Králové duben
Cloud computing v praxi
Systém managementu jakosti
PROJEKT: Hodnocení průmyslových rizik
Městská část Praha 6 Postup příprav GDPR Ing. Jan Holický, MBA
Bezpečnostní souvislosti v NIX-ZD
Transkript prezentace:

Roman Danel roman.danel@vsb.cz VŠB – TU Ostrava BIS Analýza rizik Roman Danel roman.danel@vsb.cz VŠB – TU Ostrava

Analýza rizik Co se stane, když informace nebudou chráněny? Jak může být porušena bezpečnost informací? S jakou pravděpodobností se to stane?

Co je cílem? Zajištění důvěrnosti dat Zajištění integrity dat Zajištění dostupnosti

Analýza rizik - pojmy aktivum (asset) – vše co má pro společnost nějakou hodnotu a mělo by být odpovídajícím způsobem chráněno, hrozba (threat) – jakákoliv událost, která může způsobit narušení důvěrnosti, integrity a dostupnosti aktiva zranitelnost (vulnerability) – vlastnost aktiva nebo slabina na úrovni fyzické, logické nebo administrativní bezpečnosti, která může být zneužita hrozbou. riziko – pravděpodobnost, že hrozba zneužije zranitelnost a způsobí narušení důvěrnosti, integrity nebo dostupnosti. opatření (countermeasure) – opatření na úrovni fyzické logické nebo administrativní bezpečnosti, které snižuje zranitelnost a chrání aktivum před danou hrozbou

Pojmy – Hrozba (Threat) Incident Výpadek kritické komponenty (Singl Point of Failure) Smrt klíčové osoby (Single Point of Knowledge)

Pojmy - Damage Škoda Finanční Právní Reputace Operativní

Pojmy – Riziko (Risk) Pravděpodobnost události a její důsledek

Analýza rizik - pojmy ohrožení (exposure) – skutečnost, že existuje zranitelnost, která může být zneužita hrozbou narušení (breach) – situace, kdy došlo k narušení důvěrnosti, integrity nebo dostupnosti v důsledku překonání bezpečnostních opatření.

Security Autentizace Autorizace Accountability – je možné zjistit, kdo udělal danou operaci?

Definování aktiv Aktiva jsou cokoliv, co má pro organizaci hodnotu: fyzická aktiva (např. počítačový hardware, komunikační prostředky, budovy informace (dokumenty, databáze,...) software schopnost vytvářet určité produkty nebo poskytovat služby – know-how pracovní sílu, školení pracovníků, znalosti zaměstnanců, zapracování apod. nehmotné hodnoty (např. abstraktní hodnota firmy, image, dobré vztahy atd..)

Analýza rizik – druhy hrozeb Hrozby Software Lidé Fyzické Přírodní vlivy Selhání HW Vnější Chyby SW Vnitřní Vnější Výpadek napájení Úmyslné Neúmyslné

Risk Management Co se může stát? Jaká je pravděpodobnost, že se to stane? Jaké jsou důsledky, když se to stane? Co můžeme udělat? Jaké jsou náklady, benefity a rizika každé varianty?

Normy BS 7799 ISO/IEC TR 13335 Definuje 4 způsoby analýzy rizik (základní přístup, neformální přístup, podrobná analýza rizik, kombinovaný přístup)

Metodiky pro Analýzu rizik ALE – 70.léta CRAMM (CCTA Risk Analysis and Management Method) BS7799 ISO/IEC 27001:2005 OCTAVE-S (Operationally Critical Threat, Asset and Vulnerability Evaluation) RISK IT Cobra, Marion, NetRecon, RiscPAC Cobra – pro finanční instituce

Pojmy z metodik ARO – Annualized Rate of Occurence – pravděpodobnost výskytu hrozby za rok SLE – Single Loss Exposure – ztráta při jednom výskytu hrozby

ALE Annualized Loss Expectancy Kvantitativní metoda Předpokládané škody a náklady na obnovu Vyjadřuje se v penězích Nevýhoda: náročnost na provedení

CRAMM Organizace CCTA, 1985, metodika Pro nasazení nutné proškolení Verze 4 zahrnuje normu ISO 27001 Ceněn mezi auditory Rozhraní na SSADM (strukturovaná analýza a design) a PRINCE (Project in Controlled Environment)

CRAMM Databáze informací, zahrnující: hrozby, slabiny a protiopatření Identifikace a ocenění aktiv Seskupení aktiv do logických skupin a stanovení hrozeb; odhad zranitelnosti a stanovení požadavků na bezpečnost pro jednotlivé skupiny Návrh protiopatření pro ochranu aktiv

CRAMM Výhoda Nevýhoda Komplexnost Objektivita Nepřehlednost výstupů Složitost

Metodika OCTAVE-S

OCTAVE-S

Metodika RISK IT [2] FISCHER, U. Risk IT [prezentace]. Rolling Meadows, USA : ISACA, 2009. Dostupné z WWW: <http://www.isaca.org/Knowledge-Center/Standards/Documents/Risk-IT-Overview.ppt>.

Risk IT Late project delivery Not achieving enough value from IT Compliance Misalignment Obsolete or inflexible IT architecture IT service delivery problems

What RiskIT offers? Provides guidance to help executives and management ask the key questions, make better, more informed risk-adjusted decisions and guide their enterprises so risk is managed effectively Helps save time, cost and effort with tools to address business risks Integrates the management of IT-related business risks into overall enterprise risk management Helps leadership understand the enterprise’s risk appetite and risk tolerance Provides practical guidance driven by the needs of enterprise leadership around the world Brings together all aspects of IT risk, including value, change, availability, security, project and recovery. Links with enterprisewide risk management concepts and approaches, such as COSO ERM, ARMS and ISO 31000. Other standards and frameworks are either too generic (e.g., ERM-oriented) or too focused on one aspect (e.g., IT security) (see next slide). Offers a single, comprehensive view of IT-related business risks, which can cost companies millions annually in lost revenues and opportunities.

RiskIT tree

RiscPAC Analytický nástroj od firmy CPA Expertní systém pro analýzu rizik Automatizace dotazníkových přístupů RecoveryPAC – program pro vytváření plánů obnovy funkčnosti IS

Postup analýzy rizik Stanovení hranice Identifikace aktiv Stanovení hodnoty aktiv (+seskupení) Identifikace hrozeb Analýza hrozeb Pravděpodobnost jevu Měření rizika

Případová studie http://bpm-tema.blogspot.com/2007/11/ppadov-studie-analzy-rizik-informan.html

Kvalitativní metodiky Popis výši dopadu, hrozeb a zranitelnosti pomocí diskrétní škály (interval 1 až 10) nebo slovního popisu (velmi nízká – nízká – vysoká…) Výhoda: snadná proveditelnost, rychlost Nevýhoda: subjektivní posuzování Příklad: metoda Delphi Delphi – účelová interview, respondenti nepřicházejí do styku

Bezpečnostní studie Odhad hrozeb Škoda způsobená incidentem dočasná, trvalá Analýza zranitelnosti Odhad dopadů incidentu: Stanovením finančních nákladů Stupnice 1-10 Ohodnocení – nízký, střední, vysoký Analýza rizik: riziko je potenciální možnost, že daná hrozba využije zranitelnosti

Bezpečnostní studie Přijetí zbytkových rizik Stanovení omezení organizační finanční personální právní technická

ISO 27001 Požadavky na systém managementu bezpečnosti informací, revize 2013 Snížení rizika úniku citlivých informací Verze 2005 – soulad se zákonem na ochranu osobních údajů Vhodný pro státní správu, telekomunikační společnosti, IT firmy… model Plánuj-Dělej-Kontroluj-Jednej (Plan-Do-Check-Act, PDCA)

ISO 27001 Soulad s legislativními požadavky (Zákon č. 101/2000 Sb. o ochraně osobních údajů) Vybudování systémového přístupu k ochranně informací Snížení rizik s únikem či zneužitím důvěrných informací, Zlepšení důvěry zákazníků a zvýšení image firmy

ISO 27001 Řada norem ISO 2700x http://www.rac.cz/rac/homepage.nsf/CZ/ISO27000 Analýza podle normy BS7799 (ISO 27001) se využívá v případech, kdy se organizace rozhodne k zavedení systému řízení bezpečnosti informací (ISMS) a jeho následné certifikaci. V rámci analýzy je možné vytvářet bezpečnostní politiku organizace, provádět hodnocení rizik. 

Bezpečnostní politika BP má za úkol zajistit bezpečnost IS s přihlédnutím k nákladové efektivitě a musí odpovídat na tyto otázky: Kdo nese zodpovědnost? Kdy to bude efektivní? Jak to bude vynuceno? Kdy a jak to bude uvedeno do praxe?

Standardní kroky řešení bezpečnosti studie informační bezpečnosti – aktuální stav, riziková analýza, tvorba bezpečnostní politiky - vytýčení cílů, bezpečnostní standardy – pro naplnění cílů bezpečnostní politiky, bezpečnostní projekt – technická opatření, implementace bezpečnosti – nasazení výše uvedeného, monitoring a audit – prověřování, zda vytvořené bezpečnostní mechanismy odpovídají dané situaci.

Bezpečnostní dokumentace http://www.aec.cz/cz/sluzby/procesy-a-dokumentace-bezpecnosti

Bezpečnostní dokumentace jednoznačné stanovení povinností a odpovědností uživatelů IS organizace. Všichni zaměstnanci budou znát konkrétní odpovědnosti a povinnosti při práci s informačním systémem. Zvýší se bezpečnostní povědomí uživatelů o informační bezpečnosti. Sníží se riziko úniku dat, např. prostřednictvím emailové komunikace apod. Omezení „absolutní moci“ administrátorů a správců. Snadnější zajištění zastupitelnosti klíčových zaměstnanců (administrátorů a správců).

Havarijní plán Postup a reakce v případě havárie, poruchy nebo nefunkčnosti IS Součást Bezpečnostní politiky Uživatel IS by měl vědět KOHO a JAK informovat v případě poruchy

OECD 1992 – „Guidelines for the security of information systems“

BCM Business Continuity Management BCM je manažerská disciplína, která se zaměřuje na identifikaci potencionálních dopadů, jež organizaci hrozí po havárii. Vytváří rámec pro zajištění určité míry odolnosti a schopnosti reagovat na neočekávané události. Havarijní plány a plány obnovy

Implementace bezpečnosti Tvorba bezpečnostní dokumentace Zavedení bezpečnostních procesů a rolí Implementace konkrétních mechanismů Zavedení kontroly bezpečnosti - audit

Implementace mechanismů Antiviry Bezpečná topologie sítě Firewall Fraud Detection System (FDS) Šifrování PKI (Infrastruktura veřejných klíčů) systémy DLP (Data Loss Prevention)