Luděk Novák dubna 2006 Proč a jak řídit informační rizika ve veřejné správě.

Slides:



Advertisements
Podobné prezentace
13. Koordinace projektů Realizace změn Koordinace projektů
Advertisements

Nabídka personálních služeb
AUTOEVALUACE neboli VLASTNÍ HODNOCENÍ MŠ Martina Kupcová.
Audit administrativních činností
NĚKTERÉ ZKUŠENOSTI ZE ZAVÁDĚNÍ ISO 27001
Facility management ČSN EN
Efektivní informační bezpečnost
Daniel Kardoš Ing. Daniel Kardoš
1 E - S V Ě T S E T O Č Í S T Á L E R Y C H L E J I. S T A Č Í T E M U ? Praktická realizace bezpečnostních požadavků standardů ISVS při tvorbě.
Město Šlapanice průkopník moderního řízení ve veřejné správě 20. února Národní konference kvality ve veřejné správě.
7. zasedání pracovní skupiny interních auditorů kraje Vysočina
Management kontinuity činností organizace
Řízení přístupových práv uživatelů
Základní registry veřejné správy
Integrovaný plán rozvoje města Kutná Hora 21. srpna 2007.
Plánování zajištění jakosti produktu dle ISO/IEC 9126 Princip a představení praktického řešení Robert Pergl Česká zemědělská univerzita v Praze Provozně.
Analýza dopadu zákona č. 300/2008 Sb. do území JUDr. Kateřina Černá Ing. Václav Koudele.
SPRÁVA ZÁKLADNÍCH REGISTRŮ Listopad CÍL PREZENTACE 1.Jak vznikl nový úřad 2.Proč nový úřad vznikl.
3. přednáška, Informační systémy veřejné správy (ISVS) Situace v ČR Úvod do eGovernmentu Výběrová přednáška.
Projekt zavádění jednotné bezpečnostní politiky v prostředí VZP ČR
Auditorské postupy Činnosti před uzavřením smlouvy
© LogicaCMG All rights reserved Procesní audit je efektivní nástroj k napřímení procesů, optimalizaci organizace a zlepšení využívání jejich zdrojů.
ITIL Information Technology Infrastructure Library.
Absolventská práce 2002 Aplikace XML rozhraní v prostředí krajského úřadu Autor : Marek Cop Vedoucí : Ing. Petr Pavlinec 2002.
E M A S - Systém environmentálního řízení a auditu Zavádění EMAS na MŽP Porada OVSS
ISMS v KSRZIS (Koordinační středisko pro rezortní zdravotnické informační systémy) František Henkl.
Zkušenosti se zaváděním systému řízení v KSRZIS podle:
JEDEN CÍL, SPOLEČNÁ CESTA Ministerstvo vnitra České republiky & Ministerstvo vnitra Ing. Jaroslav Svoboda
17. března 2003 Univerzální přípojka – brána do IVS Miroslav Nováček Libor Neumann.
Ondřej Škorpil 27. října 2011 American Center Řízení agendy CSR ve Skupině ČSOB Na cestě k efektivitě: Jak integrovat CSR do strategického řízení firmy.
ISMS VE STÁTNÍ SPRÁVĚ A SAMOSPRÁVĚ
Zkušenosti ze zavedení systému řízení kvality informačních služeb
Informačnípodpora řízení kvality ve firmě Informační podpora řízení kvality ve firmě CRM Ekonomický systém Personalistika Datová pumpa Akord Software Datový.
Daniel Kardoš Ing. Daniel Kardoš
Systémy odměňování a hodnocení. K čemu slouží odměňování?
STÁTNÍ INFORMAČNÍ POLITIKA Cesta k informační společnosti Ing. Karel Březina ministr a předseda Rady vlády pro státní informační politiku.
Projekt realizace referenčního rozhraní Ing. Jan Pokorný Ministerstvo informatiky ČR ISSS, 5. dubna 2005.
Bezpečnost informačních systémů - nástroje pro podporu řešení bezpečnosti Nemochovský František ISSS Hradec Králové, března 2004.
Zásady řešení informační bezpečnosti
Proces řízení rizik.
Zkušenosti se zaváděním systému řízení ochrany informací podle ČSN BS ČSN ISO//IEC ve městě Vsetín Stanislava Konečná Vedoucí odboru kanceláře.
Realizační tým ICZ duben 2005
Zkušenosti ze zavedení systému řízení bezpečnosti informací ve shodě s ISO a ISO na Ministerstvu zdravotnictví ČR Ing. Fares Shima Ing. Fares.
Řešení informační bezpečnosti v malých a středních firmách Pavel Šnajdr – Informační management 2 Diplomová práce.
Základní struktura projektu Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti Název projektu: Kvalitní vzdělání je efektivní investice.
Přístup k řešení bezpečnosti IT Nemochovský František ISSS Hradec Králové, dubna 2005.
GovNet Ing. Zbyněk Škopán. Strana 2 KI ISVS Služby GovNet I. Centrální podpora Uživatelů.
Plánování auditu ISA 300 Plánování práce auditora
Novelizace zákona č. 365/2000 Sb., o ISVS Hradec
Zjednodušení administrativních postupů – výpisy z Evidence rejstříku trestů Mgr. Marek Souček Konference ISSS 2006 Hradec Králové, 3. – 4. dubna 2006.
Bezpečnostní politika
Systém řízení moderního podniku Management system of modern company
IEC 61850: Soubor norem pro komunikaci v energetice
© IHAS 2011 Tento projekt je financovaný z prostředků ESF prostřednictvím Operačního programu Vzdělávání pro konkurenceschopnost a státního rozpočtu ČR.
Zabezpečení dat a komunikační infrastruktury Policie ČR CZ.1.06/1.1.00/ Zabezpečení dat a komunikační infrastruktury Policie ČR CZ.1.06/1.1.00/
SIKP – Státní informační a komunikační politika Prezentace – aplikace vybraných zákonů ve společnosti NeXA, s.r.o. Eva Štíbrová Zdeňka Strousková Radka.
Firemní data mimo firmu: z pohledu zákoníku práce JUDr. Josef Donát, LLM, ROWAN LEGAL ISSS 2014, Hradec Králové.
IS jako nástroj moderního personálního managementu Vít Červinka
Analýza možností využití institutu centrálního zadavatele v rámci jednotlivých resortů Přednášející: Ing. Pavel Brož.
Certifikace informačních systémů veřejné správy (ISVS) ve smyslu zákona č. 365/2000 Sb. - atest-
Duben 2013 Odbor informatiky KrÚ JMK Výzva č. 08 Integrovaného operačního programu na Integrovaného operačního programu na Rozvoj služeb eGovernmentu v.
SAFETY 2017 Význam a zásady fyzické bezpečnosti při ochraně (nejen) utajovaných informací. Hradec Králové duben
Informačních systémů veřejné správy
Řízení rizik podvodů pro období 2014–2020
PROJEKT: Hodnocení průmyslových rizik
Koncepce bezpečnosti v infrastruktuře systémů veřejné správy
Výbor pro audit ing. Bohuslav Poduška, CIA, CRMA
Městská část Praha 6 Postup příprav GDPR Ing. Jan Holický, MBA
Ing. Luděk Sosna, Ph.D. Odbor Strategie Ministerstvo dopravy
Zkušenosti z řízení a auditu rozsáhlého mezinárodního IS
Transkript prezentace:

Luděk Novák dubna 2006 Proč a jak řídit informační rizika ve veřejné správě

2 Obsah prezentace Informační rizika a bezpečnost informací Základní prvky řízení rizik Potřeby řízení rizik Řízení rizik a veřejná správa Motto: Kdo chce vyřadit každé riziko, ten také zničí všechny šance.

3 Zákon č. 365/2000 Sb., o ISVS § 5b Bezpečnost informačních systémů veřejné správy (1) Orgány veřejné správy zajišťují bezpečnost informačních systémů veřejné správy v rozsahu daném prováděcím právním předpisem. Prováděcí právní předpis dále stanoví minimální bezpečnostní požadavky k zajištění důvěrnosti, integrity a dostupnosti zpracovávaných informací. (2) Orgány veřejné správy odpovídají za výběr a zavedení přiměřených bezpečnostních opatření odpovídajících minimálním bezpečnostním požadavkům.

4 Pravidla řízení bezpečnosti ČSN ISO/IEC 27001:2006 – Systém řízení bezpečnosti informací – Požadavky mezinárodní podoba známé normy BS , definuje postup řízení bezpečnosti a způsob výběru bezpečnostních opatření, Návrh systému řízení se opírá především o analýzu a zvládání informačních rizik. ČSN ISO/IEC 17799:2006 – Soubor postupů pro řízení bezpečnosti informací katalog 133 bezpečnostních opatření s doporučením pro realizaci.

5 Základní prvky řízení rizik Analýza informačních rizik určení hodnoty chráněných aktiv identifikování možných hrozeb a jejich dopadů určení účinnosti existujících opatření Zvládání informačních rizik určení nezbytnosti a způsobu snižování míry rizika výběr vhodných bezpečnostních opatření Kvalita analýzy a zvládání rizik rozhoduje o účinnosti a efektivnosti řízení bezpečnosti informací.

6 Klasické metody řízení Mají zdůrazněnu analytickou povahu snaha o vysokou přesnost analytických výsledků. Vysoká časová náročnost provedení analýzy analýzy prováděny s omezenou periodou (1 až 3 roky). Složité a nečitelné vnitřní vazby omezené schopnosti dále s riziky pracovat, omezené možnosti reagovat na provozní zkušenosti. Metody nejsou určeny pro každodenní řízení rizik hlavním cílem metod jsou převážně jednorázové analýzy, omezená integrace externích informačních zdrojů.

7 Co dnes potřebujeme? Každodenní řízení rizik úroveň rizika by měla být určena rychle, riziko by mělo být včas předáno a správně zvládáno, sledování rizika během jeho zvládání, úzké propojení (splynutí) s řízením bezpečnosti Zapojení širokého spektra informačních zdrojů již existující znalosti o rizicích, informace získávané během kontroly bezpečnosti, metody sebehodnocení, podměty uživatelů apod. Přehled a evidenci informačních rizik.

8 Jednoduchá metoda řízení rizik Doporučení BITS pro hodnocení rizik Riziko = Dopady * Hrozba * Zranitelnost Stupnice pro hodnocení aktiv ICT Stupnice pro hodnocení rizik vyjádření výše možných dopadů, vyjádření pravděpodobnosti hrozby, vyjádření pravděpodobnost zranitelnosti. Organizace si musí ujasnit pravidla a postupy pro zvládání rizik (priority pro výběr opatření), pravidla a postupy pro akceptování zbytkových rizik.

9 Struktura pro řízení rizik Základem je efektivní propojení řízení rizik s konkrétním prostředím informačních a komunikačních systémů jednoznačné rozdělení prostředí ICT, jasné určení odpovědností, definování role manažera rizik, způsoby komunikace manažera rizik, pravidla pro eskalaci rizik.

10 Využít různých informačních zdrojů Využití již provedených analýz rizik. Využití výsledků řešení bezpečnostních incidentů. Využití výsledků bezpečnostních testů. Využití zpráv z auditu bezpečnosti a provozu. Využití podnětů pro zlepšení bezpečnosti a provozu. Využití sebehodnocení rizik. Využití výsledků nově provedených analýz rizik.

11 Řízení rizik a veřejná správa Decentralizovaná struktura řízení VS zahrnuje informatiku i informační rizika, není možné účinně centralizovat, potřeba prohlubovat vztahy důvěry. Bezpečná výměna dat základem je sladění představ o úrovni přijatelných rizik, potřeba použití obdobných principů řízení rizik, potřeba použití shodných stupnic pro vyjádření rizik, nalezení společného jazyka je nejjednodušším řešením.

12 Stupnice pro ohodnocení rizik Fungování registru rizik Stupnice dopadů Analýzy rizik Stupnice zranitelnosti Stupnice hrozeb Bezpečnostní incidenty Bezpečnostní testy Bezpečnostní audity Sebehodnocení bezpečnosti Přidělení rizik Výběr opatření Akceptování rizik Zbytková rizika Eskalace rizik Registr rizik ICT Další podněty

13 Závěr Řízení rizik je základem ekonomicky smysluplné bezpečnosti informací. Potřeba aplikovaní vhodných metod řízení rizik při řízení každodenních aktivit. Využití širokého spektra informačních zdrojů zpřesňuje a snižuje náročnost řízení rizik. Pro veřejnou správu je důležité upřesnit společný jazyk – umožní otevřenou komunikaci o rizicích.