Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

1 www.pvt.cz E - S V Ě T S E T O Č Í S T Á L E R Y C H L E J I. S T A Č Í T E M U ? Praktická realizace bezpečnostních požadavků standardů ISVS při tvorbě.

Podobné prezentace


Prezentace na téma: "1 www.pvt.cz E - S V Ě T S E T O Č Í S T Á L E R Y C H L E J I. S T A Č Í T E M U ? Praktická realizace bezpečnostních požadavků standardů ISVS při tvorbě."— Transkript prezentace:

1 1 www.pvt.cz E - S V Ě T S E T O Č Í S T Á L E R Y C H L E J I. S T A Č Í T E M U ? Praktická realizace bezpečnostních požadavků standardů ISVS při tvorbě informačních systémů Ing. Jaroslav Vik

2 2 www.pvt.cz Bezpečnostní požadavky standardů... ISVS - proč a jak řešit bezpečnost? Cena, kterou informace mají pro vlastníka: z pohledu dopadů nedostupnosti, prozrazení, porušení integrity. Legislativní požadavky. Základní pravidla: vkládat řešení bezpečnosti od samého začátku tvorby IS. věnovat bezpečnosti pozornost po celou dobu životního cyklu IS. pozornost věnovat všem aspektům bezpečnosti - pravidlo nejslabšího článku.

3 3 www.pvt.cz Bezpečnostní požadavky standardů... Legislativa Zákon č. 365/2000 Sb., o informačních systémech VS: povinnost orgánů VS zajišťovat ochranu a bezpečnost informací. Standard ISVS 005/02.01 o náležitostech životního cyklu IS: zajistit kvalitní řízení vývoje, provozu a údržby IS, vést jednotnou a strukturovanou dokumentaci (projektová bezpečnostní dokumentace a provozní bezpečnostní dokumentace). Standard ISVS 006/02.02 pro pověřování k výkonu atestací a pro náležitosti provozu atestačních středisek: bezpečnostní standard?

4 4 www.pvt.cz Bezpečnostní požadavky standardů... Standardy pro řešení bezpečnosti IS ČSN ISO/IEC TR 13335 - Směrnice pro řízení bezpečnosti IT. ČSN ISO/IEC 17799 - Informační technologie - Soubor postupů pro řízení informační bezpečnosti. BS 7799-2:2002 - Information Security Management Systems - Specifications with guidance for use. ČSN ISO/IEC 15408 - Informační technologie - Bezpečnostní techniky - kritéria pro hodnocení bezpečnosti IT. ITSEC - Kritéria hodnocení bezpečnosti informačních systémů.

5 5 www.pvt.cz Bezpečnostní požadavky standardů... Praktický postup Analýza a zvládání rizik (AR) CRAMM: popis systému (řetězce), hodnocení dat formou scénářů, hodnocení hrozeb a zranitelností formou dotazníků, výsledná protiopatření seskupena přibližně dle ITSEC, možnost řazení dle BS 7799 (ČSN ISO/IEC 17799), opakovatelnost, maximální objektivnost, modelování, všechny aspekty. Funkce prosazující bezpečnost. Bezpečnostní architektura. Bezpečnostní mechanismy.

6 6 www.pvt.cz Bezpečnostní požadavky standardů... AR CRAMM - popis systému Model (řetězec aktiv): Koncová_služba_uživateli (typ) Datová_skupina Pracovní_stanice Umístění (kancelář) Server Umístění (technický sál) Vnitřní_síť Firewall Umístění (technický sál) Internet Programové_vybavení

7 7 www.pvt.cz Bezpečnostní požadavky standardů... AR CRAMM - hodnocení aktiv Datové skupiny: co by se mohlo stát, kdyby data byla nedostupná: „Po 15 minutách nespokojenost zákazníků se službami, po 2 hodinách lze očekávat nepříznivou publicitu celostátního rozsahu.“ co by se mohlo stát, kdyby data byla zničena, prozrazena, či modifikována, v případě dopadu komunikačních hrozeb“:..... Technické a programové vybavení: cena nutná pro pořízení (např. včetně nákladů na školení).

8 8 www.pvt.cz Bezpečnostní požadavky standardů... AR CRAMM - hrozby a zranitelnosti Typy hrozeb a zranitelností (38): předstírání identity uživatele, technické závady, přerušení dodávky proudu, požár, poškození vodou, krádeže, terorismus. Hodnocení: Kolik bylo zaznamenáno pokusů o získání přístupu k datům neoprávněným užitím účtu jiného uživatele během posledních tří let? 0 jeden nebo dva v průměru jeden ročně více než jeden ročně není známo

9 9 www.pvt.cz Bezpečnostní požadavky standardů... Závěr (opakování úvodu) Pro řešení bezpečnosti existuje důvod: budou-li data nedostupná vystavuji se nepříznivé publicitě, nesplním zákonnou povinnost,... budou-li data prozrazena poruším zákon, vystavuji se nepříznivé publicitě, hrozí mi finanční ztráty, někdo bude zvýhodněn,... budou-li data modifikována vystavuji se nepříznivé publicitě, někdo bude zvýhodněn (finančně),... Pro řešení bezpečnosti existuje právní rámec: zákon, standardy. Jsou známy způsoby řešení bezpečnosti: intuitivní, normy bezpečnosti IS.

10 10 www.pvt.cz Bezpečnostní požadavky standardů... Děkuji za Vaši pozornost


Stáhnout ppt "1 www.pvt.cz E - S V Ě T S E T O Č Í S T Á L E R Y C H L E J I. S T A Č Í T E M U ? Praktická realizace bezpečnostních požadavků standardů ISVS při tvorbě."

Podobné prezentace


Reklamy Google