Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze Následující verze Obě strany příští revize | ||
mgr-szz:in-pos:9-pos [2019/06/12 12:16] lachmanfrantisek vypracování |
mgr-szz:in-pos:9-pos [2019/06/19 19:59] lachmanfrantisek |
||
---|---|---|---|
Řádek 28: | Řádek 28: | ||
* výsledek **úspěšných** nebo **neúspěšný** | * výsledek **úspěšných** nebo **neúspěšný** | ||
* **Riziko**: pravděpodobnost útoku (uplatnění hrozby) | * **Riziko**: pravděpodobnost útoku (uplatnění hrozby) | ||
+ | |||
+ | Řízení bezpečnosti musí v organizaci fungovat jako součást celkového systému řízení organizace. Systém řízení bezpečnosti musí být přiměřený a šitý na míru konkrétní organizaci (politiky a procesy musí odrážet styl a kulturu organizace, přijaté politiky a procesy musí odrážet výsledky ohodnocení rizik). Technologie budování systému řízení bezpečnosti je definována standardy. | ||
+ | |||
==== Řízení rizik ==== | ==== Řízení rizik ==== | ||
Řádek 37: | Řádek 40: | ||
- **Ohodnocení rizik**: analýza a vyhodnocení | - **Ohodnocení rizik**: analýza a vyhodnocení | ||
- **Zvládání rizik**: výběr a implementace opatření snižujících rizika | - **Zvládání rizik**: výběr a implementace opatření snižujících rizika | ||
- | - **Akceptace rizik**: rozhodování o přijatelnosti rizika informovanost o rizicích | + | - **Akceptace rizik**: rozhodování o přijatelnosti rizika |
+ | - **Informovanost o rizicích**: informování všech, kteří mohou být rizikem zasaženi | ||
Řádek 50: | Řádek 54: | ||
- | * **kvalitativní** | + | * **kvantitativní** |
* ➕ velmi srozumitelný výstup (nejčastěji v $$$) | * ➕ velmi srozumitelný výstup (nejčastěji v $$$) | ||
* **kvalitativní** | * **kvalitativní** | ||
Řádek 137: | Řádek 141: | ||
* Většinou psána normálním jazykem, lze ale použít i nějaký druh formalismu. | * Většinou psána normálním jazykem, lze ale použít i nějaký druh formalismu. | ||
- | * **Celková bezpečnostní** politika | + | * **Celková bezpečnostní politika** |
* Určitá míra nezávislosti na použitých IT. | * Určitá míra nezávislosti na použitých IT. | ||
* Citlivá data, zodpovědnosti, základ infrastruktury. | * Citlivá data, zodpovědnosti, základ infrastruktury. | ||
* Horizont nad 5 let. | * Horizont nad 5 let. | ||
- | * Systémová bezpečnostní politika | + | * **Systémová bezpečnostní politika** |
* Zohledňuje použité IT, konkretizace CBP. | * Zohledňuje použité IT, konkretizace CBP. | ||
* Horizont obvykle cca 2-3 roky. | * Horizont obvykle cca 2-3 roky. | ||
Řádek 163: | Řádek 167: | ||
<box 90% red|BP systému zpracování informací> | <box 90% red|BP systému zpracování informací> | ||
* zúžení ITSP | * zúžení ITSP | ||
- | * definována normou ISO/EC 27000 | + | * definována normou ISO/IEC 27000 |
* plán zvládání rizik | * plán zvládání rizik | ||
* určuje způsob zabezpečení dat v dané organizaci | * určuje způsob zabezpečení dat v dané organizaci | ||
Řádek 171: | Řádek 175: | ||
= (Information Security Management System) ISMS je systém procesů zaměřený na přístup organizace k Rizikům a musí být „šitý“ na míru konkrétní organizaci. | = (Information Security Management System) ISMS je systém procesů zaměřený na přístup organizace k Rizikům a musí být „šitý“ na míru konkrétní organizaci. | ||
+ | |||
+ | Soubor technologií, standardů, politik a manažerských praktik pro zajištění bezpečnosti informací. | ||
+ | |||
+ | <box 90% red|Bezpečnost informací> | ||
+ | Informace je bezpečná, pokud je: | ||
+ | * přístupná pouze oprávněným subjektům | ||
+ | * modifikovatelná pouze oprávněnými subjekty a | ||
+ | * do stanovené doby dostupná oprávněným subjektům | ||
+ | |||
+ | = je zajištěna: | ||
+ | * důvěrnost | ||
+ | * integrita | ||
+ | * dostupnost | ||
+ | </box> | ||
+ | |||
* nadřazené, nebo součástí ITSP | * nadřazené, nebo součástí ITSP | ||
Řádek 253: | Řádek 272: | ||
* Kategorie jednotlivých kriterií: | * Kategorie jednotlivých kriterií: | ||
- | * Vysoká záruka | + | * **Vysoká záruka** |
* dané bezpečnostní opatření byly prokázané manuální kontrolou zdrojového kódu aplikace | * dané bezpečnostní opatření byly prokázané manuální kontrolou zdrojového kódu aplikace | ||
* **Střední záruka** | * **Střední záruka** |