ANALÝZA A PROJEKTOVÁNÍ SYSTÉMŮ Analýza rizik

Slides:



Advertisements
Podobné prezentace
Bezpečnostní kultura a moderní přístup k bezpečnosti v letecké dopravě
Advertisements

METODOLOGIE PROJEKTOVÁNÍ NÁVRH IS PRO TECH. PROCESY Roman Danel VŠB – TU Ostrava HGF Institut ekonomiky a systémů řízení.
METODOLOGIE PROJEKTOVÁNÍ
Audit administrativních činností
Podmínky úspěšné realizace metodiky nového monitoringu Jiří Winkler, FSS MU Brno Projekt OP LZZ „Aktivní matching: Strategická podpora poradenství.
NĚKTERÉ ZKUŠENOSTI ZE ZAVÁDĚNÍ ISO 27001
TEORETICKÉ OTÁZKY BEZPEČNOSTI
PLÁNOVÁNÍ ROZVOJE SLUŽEB ICT VE ŠKOLE NÁLEŽITOSTI ICT PLÁNU ŠKOLY listopad 2006 (c) Radek Maca.
Audit IT procesů ve FNOL
Efektivní informační bezpečnost
Daniel Kardoš Ing. Daniel Kardoš
1 E - S V Ě T S E T O Č Í S T Á L E R Y C H L E J I. S T A Č Í T E M U ? Praktická realizace bezpečnostních požadavků standardů ISVS při tvorbě.
Management kontinuity činností organizace
Projekt zavádění jednotné bezpečnostní politiky v prostředí VZP ČR
Ochrana aktiv v malé firmě Bakalářská práce Pavel Šnajdr – Aplikovaná informatika.
Koncepce environmentální bezpečnosti
Informační strategie. řešíte otázku kde získat konkurenční výhodu hledáte jistotu při realizaci projektů ICT Nejste si jisti ekonomickou efektivností.
Jaromír Skorkovský ESF MU KAMI
ITIL Information Technology Infrastructure Library.
Ochrana citlivých zdravotnických dat pacientů systémem řízení bezpečnosti informací podle normy ČSN/BS :2004 Ing. Daniel Kardoš.
Ekonomika informačních systémů
Roman Danel VŠB – TU Ostrava
Vybrané metody analýzy
METODIKA VSTUPNÍHO HODNOCENÍ Základní přehled. Návrh projektu Ing. Pavel Růžička Kurz Manažer udržitelné spotřeby a výroby v rámci projektu.
MANEK Antonín ŠMEJKAL (2012) Antonín ŠMEJKAL (2012) ŘÍZENÍ RIZIKA.
Zavádění a údržba informačních systémů
Luděk Novák dubna 2006 Proč a jak řídit informační rizika ve veřejné správě.
ISMS VE STÁTNÍ SPRÁVĚ A SAMOSPRÁVĚ
Informačnípodpora řízení kvality ve firmě Informační podpora řízení kvality ve firmě CRM Ekonomický systém Personalistika Datová pumpa Akord Software Datový.
Daniel Kardoš Ing. Daniel Kardoš
Projekt realizace referenčního rozhraní Ing. Jan Pokorný Ministerstvo informatiky ČR ISSS, 5. dubna 2005.
Analýza rizik Miroslav Čermák.
Zásady řešení informační bezpečnosti
Robert Mohos,3IT. Disaster Recovery Planning  Plány pro obnovu činnosti po mimořádné události - Preventivní opatření - Zmírnění následků - Ulehčení obnovy.
BIS Firewall Roman Danel VŠB – TU Ostrava.
Proces řízení rizik.
Zvýšení kvality řízení KÚPK aktivita A3 Informační strategie Analýza Workshop
Zkušenosti se zaváděním systému řízení ochrany informací podle ČSN BS ČSN ISO//IEC ve městě Vsetín Stanislava Konečná Vedoucí odboru kanceláře.
Vaše jistota na trhu IT Vybudování a provozování e-spisovny Josef Sedláček ICZ a.s.
Nebezpečí webových aplikací Tomáš Strýček Invex Forum Brno
Zkušenosti ze zavedení systému řízení bezpečnosti informací ve shodě s ISO a ISO na Ministerstvu zdravotnictví ČR Ing. Fares Shima Ing. Fares.
Podnikatelský plán struktura plánu.
Copyright (C) 1999 VEMA počítače a projektování, spol. s r.o.
Řešení informační bezpečnosti v malých a středních firmách Pavel Šnajdr – Informační management 2 Diplomová práce.
Informační bezpečnost jako rámec ochrany osobních údajů v orgánech veřejné správy Hradec Králové
Poradenství. Systémová integrace. Outsourcing. Infrastruktura. Technologie serverů. KRIZOVÉ ŘÍZENÍ Celostátní krizové řízení v pojetí Unisys Hradec Králové,
Přístup k řešení bezpečnosti IT Nemochovský František ISSS Hradec Králové, dubna 2005.
Co je riziko ? Z historie:
GovNet Ing. Zbyněk Škopán. Strana 2 KI ISVS Služby GovNet I. Centrální podpora Uživatelů.
1 14.Postakviziční integrace-jaké kroky se mají učinit po podpisu kupní smlouvy Kateřina Čepeláková, E-72 Šk.rok:2009/2010.
Bezpečnostní politika
Projektový management Risk management
Tržní prostředí.
Personální plán pro podnikatelský plán
Stalo se … příběh jednoho „průšvihu“ Ing.Tomáš Boubelík PhDr.Iva Moravcová Mgr.Oldřich Smola.
IP firmy Informační politika a firmy „Strategie vytváření podmínek, cílů a priorit v oblasti informačních procesů zejména zdokonalováním informačních.
SIKP – Státní informační a komunikační politika Prezentace – aplikace vybraných zákonů ve společnosti NeXA, s.r.o. Eva Štíbrová Zdeňka Strousková Radka.
Mezinárodní konference ICT Fórum PERSONALIS 2006 Procesní řízení informační bezpečnosti ve státní správě Ing. Jindřich KODL, CSc. Praha
KONCEPCE ENVIRONMENTÁLNÍ BEZPEČNOSTI Základní dokumenty Bezpečnostní strategie NATO Mezinárodní strategie pro snižování rizika katastrof OSN.
IS jako nástroj moderního personálního managementu Vít Červinka
Integrated and Planned Enforcement of Environmental Law Phare Twinning Project CZ03/IB/EN/01 1 EMS jako součást Integrovaného povolování a inspekce Rob.
SAFETY 2017 Význam a zásady fyzické bezpečnosti při ochraně (nejen) utajovaných informací. Hradec Králové duben
Strategie.
SWOT analýza ZDV Krchleby, a. s.
PROJEKT: Hodnocení průmyslových rizik
Ústí nad Labem 4/2008 Ing. Jaromír Vachta
Centrum vzdělanosti Libereckého kraje, příspěvková organizace
METODOLOGIE PROJEKTOVÁNÍ
PROJEKTOVÝ MANAGEMENT
Program bezpečnostního výzkumu České republiky
Transkript prezentace:

ANALÝZA A PROJEKTOVÁNÍ SYSTÉMŮ Analýza rizik Roman Danel VŠB – TU Ostrava HGF Institut ekonomiky a systémů řízení

Analýza rizik - pojmy Aktivum (asset) – vše co má pro společnost nějakou hodnotu a mělo by být odpovídajícím způsobem chráněno, Hrozba (threat) – jakákoliv událost, která může způsobit narušení důvěrnosti, integrity a dostupnosti aktiva Zranitelnost (vulnerability) – vlastnost aktiva nebo slabina na úrovni fyzické, logické nebo administrativní bezpečnosti, která může být zneužita hrozbou. Riziko – pravděpodobnost, že hrozba zneužije zranitelnost a způsobí narušení důvěrnosti, integrity nebo dostupnosti. Opatření (countermeasure) – opatření na úrovni fyzické logické nebo administrativní bezpečnosti, které snižuje zranitelnost a chrání aktivum před danou hrozbou

Analýza rizik - pojmy ohrožení (exposure) – skutečnost, že existuje zranitelnost, která může být zneužita hrozbou narušení (breach) – situace, kdy došlo k narušení důvěrnosti, integrity nebo dostupnosti v důsledku překonání bezpečnostních opatření.

Definování aktiv Aktivem je cokoliv, co má pro organizaci hodnotu: fyzická aktiva (např. počítačový hardware, komunikační prostředky, budovy informace (dokumenty, databáze,...) software schopnost vytvářet určité produkty nebo poskytovat služby – know-how pracovní sílu, školení pracovníků, znalosti zaměstnanců, zapracování apod. nehmotné hodnoty (např. abstraktní hodnota firmy, image, dobré vztahy atd..)

Analýza rizik – druhy hrozeb Hrozby Software Lidé Fyzické Přírodní vlivy Selhání HW Vnější Chyby SW Vnitřní Vnější Výpadek napájení Úmyslné Neúmyslné

Metodiky pro Analýzu rizik CRAMM (CCTA Risk Analysis and Management Method) BS7799 ISO/IEC 27001:2005 OCTAVE-S (Operationally Critical Threat, Asset and Vulnerability Evaluation) RISK IT

OCTAVE-S

RISK IT [2] FISCHER, U. Risk IT [prezentace]. Rolling Meadows, USA : ISACA, 2009. Dostupné z WWW: <http://www.isaca.org/Knowledge-Center/Standards/Documents/Risk-IT-Overview.ppt>.

Isaca

What RiskIT offers? Provides guidance to help executives and management ask the key questions, make better, more informed risk-adjusted decisions and guide their enterprises so risk is managed effectively Helps save time, cost and effort with tools to address business risks Integrates the management of IT-related business risks into overall enterprise risk management Helps leadership understand the enterprise’s risk appetite and risk tolerance Provides practical guidance driven by the needs of enterprise leadership around the world Brings together all aspects of IT risk, including value, change, availability, security, project and recovery. Links with enterprisewide risk management concepts and approaches, such as COSO ERM, ARMS and ISO 31000. Other standards and frameworks are either too generic (e.g., ERM-oriented) or too focused on one aspect (e.g., IT security) (see next slide). Offers a single, comprehensive view of IT-related business risks, which can cost companies millions annually in lost revenues and opportunities.

RiskIT tree

Risk management In Risk Governance: Risk appetite and tolerance, responsibilities and accountability for IT risk management, awareness and communication, and risk culture In Risk Evaluation: Describing business impact and risk scenarios In Risk Response: Key risk indicators (KRI) and risk response definition and prioritisation

SWOT VNĚJŠÍ FAKTORY VNITŘNÍ FAKTORY STRENGTHS WEAK OPPORTUNITIES THREATS

SWOT matice

Postup analýzy rizik Stanovení hranice Identifikace aktiv Stanovení hodnoty aktiv (+seskupení) Identifikace hrozeb Analýza hrozeb Pravděpodobnost jevu Měření rizika

Případová studie http://bpm-tema.blogspot.com/2007/11/ppadov-studie-analzy-rizik-informan.html

Analýza rizik Co se stane, když informace nebudou chráněny? Jak může být porušena bezpečnost informací? S jakou pravděpodobností se to stane?

Co je cílem? Zajištění důvěrnosti dat Zajištění integrity dat Zajištění dostupnosti

Bezpečnostní studie Odhad hrozeb Škoda způsobená incidentem dočasná, trvalá Analýza zranitelnosti Odhad dopadů incidentu: Stanovením finančních nákladů Stupnice 1-10 Ohodnocení – nízký, střední, vysoký Analýza rizik: riziko je potenciální možnost, že daná hrozba využije zranitelnosti

Bezpečnostní studie Přijetí zbytkových rizik Stanovení omezení organizační finanční personální právní technická

Bezpečnostní politika BP má za úkol zajistit bezpečnost IS s přihlédnutím k nákladové efektivitě a musí odpovídat na tyto otázky: Kdo nese zodpovědnost? Kdy to bude efektivní? Jak to bude vynuceno? Kdy a jak to bude uvedeno do praxe?

Standardní kroky řešení bezpečnosti studie informační bezpečnosti – aktuální stav, riziková analýza, tvorba bezpečnostní politiky - vytýčení cílů, bezpečnostní standardy – pro naplnění cílů bezpečnostní politiky, bezpečnostní projekt – technická opatření, implementace bezpečnosti – nasazení výše uvedeného, monitoring a audit – prověřování, zda vytvořené bezpečnostní mechanismy odpovídají dané situaci.

Havarijní plán Postup a reakce v případě havárie, poruchy nebo nefunkčnosti IS Součást Bezpečnostní politiky Uživatel IS by měl vědět KOHO a JAK informovat v případě poruchy

BCM Business Continuity Management BCM je manažerská disciplína, která se zaměřuje na identifikaci potencionálních dopadů, jež organizaci hrozí po havárii. Vytváří rámec pro zajištění určité míry odolnosti a schopnosti reagovat na neočekávané události.