Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze Následující verze Obě strany příští revize | ||
mgr-szz:in-pos:9-pos [2019/06/15 07:56] lachmanfrantisek |
mgr-szz:in-pos:9-pos [2019/06/19 21:20] lachmanfrantisek |
||
---|---|---|---|
Řádek 14: | Řádek 14: | ||
==== Principy řízení bezpečnosti v organizaci ==== | ==== Principy řízení bezpečnosti v organizaci ==== | ||
- | <box 90% red|Bezpečnost> | + | <box 90% red|Bezpečnost (Security)> |
Vlastnost prvku (např. IS), který je na určité úrovni chráněn proti ztrátám nebo také stav ochrany (na určité úrovni) proti ztrátám. | Vlastnost prvku (např. IS), který je na určité úrovni chráněn proti ztrátám nebo také stav ochrany (na určité úrovni) proti ztrátám. | ||
+ | </box> | ||
+ | <box 90% red|Bezpečnost (Security)> | ||
+ | Ochránění proti úmyslným škodám na aktivech. | ||
</box> | </box> | ||
- | - Prevence | ||
- | - Detekce | ||
- | - Reakce | ||
* **Aktiva**: data, zdroje,... (s hodnotou) | * **Aktiva**: data, zdroje,... (s hodnotou) | ||
* **Zranitelnost** (systému) | * **Zranitelnost** (systému) | ||
+ | * slabina využitelná ke způsobení škod/ztrát organizaci útokem | ||
* s útočníkem vzniká **hrozba** | * s útočníkem vzniká **hrozba** | ||
* **Útok**: realizace hrozby | * **Útok**: realizace hrozby | ||
Řádek 29: | Řádek 30: | ||
* **Riziko**: pravděpodobnost útoku (uplatnění hrozby) | * **Riziko**: pravděpodobnost útoku (uplatnění hrozby) | ||
- | Řízení bezpečnosti musí v organizaci fungovat jako součást celkového systému řízení organizace. Systém řízení bezpečnosti musí být přiměřený a šitý na míru konkrétní organizaci (politiky a procesy musí odrážet styl a kulturu organizace, přijaté politiky a procesy musí odrážet výsledky ohodnocení rizik). Technologie budování systému řízení bezpečnosti je definována standardy. | + | * Řízení bezpečnosti musí v organizaci fungovat jako součást celkového systému řízení organizace. |
+ | * Systém řízení bezpečnosti musí být přiměřený a šitý na míru konkrétní organizaci (politiky a procesy musí odrážet styl a kulturu organizace, přijaté politiky a procesy musí odrážet výsledky ohodnocení rizik). | ||
+ | * Technologie budování systému řízení bezpečnosti je definována standardy. | ||
Řádek 36: | Řádek 39: | ||
= minimalizace rizik | = minimalizace rizik | ||
- | 4 fáze: | + | <note tip> |
+ | Generické principy pro řízení projektů. V kontextu informační bezpečnosti: | ||
+ | |||
+ | Identifikace potřeb organizace | ||
+ | * z pohledu zajištění informační bezpečnosti | ||
+ | * z pohledu vytvoření účinného (efektivního) ISMS | ||
+ | </note> | ||
+ | |||
+ | Procesy: | ||
- | - **Ohodnocení rizik**: analýza a vyhodnocení | + | - **Ustanovení kontextu** |
+ | - **Ohodnocení rizik**: | ||
+ | * identifikace | ||
+ | * analýza (určení velikosti rizik) | ||
+ | * vyhodnocení rizik | ||
- **Zvládání rizik**: výběr a implementace opatření snižujících rizika | - **Zvládání rizik**: výběr a implementace opatření snižujících rizika | ||
- | - **Akceptace rizik**: rozhodování o přijatelnosti rizika informovanost o rizicích | + | - **Akceptace rizik**: rozhodování o přijatelnosti rizika |
- **Informovanost o rizicích**: informování všech, kteří mohou být rizikem zasaženi | - **Informovanost o rizicích**: informování všech, kteří mohou být rizikem zasaženi | ||
+ | - **Monitorování a přezkoumávání rizik a procesu řízení rizik** | ||
Řádek 54: | Řádek 70: | ||
- | * **kvalitativní** | + | * **kvantitativní** |
* ➕ velmi srozumitelný výstup (nejčastěji v $$$) | * ➕ velmi srozumitelný výstup (nejčastěji v $$$) | ||
* **kvalitativní** | * **kvalitativní** | ||
Řádek 77: | Řádek 93: | ||
<box 90% blue|CRAMM> | <box 90% blue|CRAMM> | ||
- | * 1985 – Vláda UK – Risk Analysis and Management Method | + | * 1985 – Vláda UK – CCTA Risk Analysis and Management Method |
* Strukturovaný přístup ve třech fázích: | * Strukturovaný přístup ve třech fázích: | ||
* Identifikace a ocenění hodnot. | * Identifikace a ocenění hodnot. | ||
Řádek 141: | Řádek 157: | ||
* Většinou psána normálním jazykem, lze ale použít i nějaký druh formalismu. | * Většinou psána normálním jazykem, lze ale použít i nějaký druh formalismu. | ||
- | * **Celková bezpečnostní** politika | + | * **Celková bezpečnostní politika** |
* Určitá míra nezávislosti na použitých IT. | * Určitá míra nezávislosti na použitých IT. | ||
* Citlivá data, zodpovědnosti, základ infrastruktury. | * Citlivá data, zodpovědnosti, základ infrastruktury. | ||
* Horizont nad 5 let. | * Horizont nad 5 let. | ||
- | * Systémová bezpečnostní politika | + | * **Systémová bezpečnostní politika** |
* Zohledňuje použité IT, konkretizace CBP. | * Zohledňuje použité IT, konkretizace CBP. | ||
* Horizont obvykle cca 2-3 roky. | * Horizont obvykle cca 2-3 roky. | ||
* Další specifické politiky: provozní, personální, intranetová,... | * Další specifické politiky: provozní, personální, intranetová,... | ||
+ | |||
Řádek 154: | Řádek 171: | ||
* **ITSP = IT Security Policy** | * **ITSP = IT Security Policy** | ||
- | * Zavedena obvykle v přirozeném jazyce. | + | * = dokumentovaný souhrn bezpečnostních zásad, pravidel, směrnic, předpisů pro ochranu informačních aktiv. |
- | * Horizont cca 5-10 let. | + | |
- | * ochrana **informačních aktiv** | + | |
- | * Obsahuje: | + | * zavedena obvykle v přirozeném jazyce |
+ | * definuje: | ||
+ | * bezpečné používání IT v rámci organizace | ||
+ | * třídu (sílu) útočníků, vůči kterým se informace zabezpečují | ||
+ | * stanovuje: | ||
+ | * koncepci informační bezpečnosti v horizontu 5-10 let | ||
+ | * co jsou citlivá informační aktiva | ||
+ | * bezpečnostní infrastrukturu organizace z pohledu informační bezpečnosti | ||
+ | * obsahuje: | ||
* hodnocení rizik | * hodnocení rizik | ||
* cíle opatření | * cíle opatření | ||
Řádek 164: | Řádek 187: | ||
* klasifikace informací | * klasifikace informací | ||
* plán zachování kontinuity | * plán zachování kontinuity | ||
+ | * nezávislá na konkrétně použitých IT | ||
+ | |||
+ | * Vybrané bezpečnostní zásady: | ||
+ | * separace odpovědností | ||
+ | * dublování autorizace vysoce citlivých systémů | ||
+ | |||
+ | |||
+ | <box 90% red|Informační bezpečnost> | ||
+ | |||
+ | Soubor technologií, standardů, politik a manažerských praktik pro zajištění bezpečnosti informací. | ||
+ | |||
+ | Informace je bezpečná, pokud je: | ||
+ | * přístupná pouze oprávněným subjektům | ||
+ | * modifikovatelná pouze oprávněnými subjekty a | ||
+ | * do stanovené doby dostupná oprávněným subjektům | ||
+ | |||
+ | = je zajištěna: | ||
+ | * důvěrnost | ||
+ | * integrita | ||
+ | * dostupnost | ||
+ | </box> | ||
+ | |||
+ | |||
<box 90% red|BP systému zpracování informací> | <box 90% red|BP systému zpracování informací> | ||
* zúžení ITSP | * zúžení ITSP | ||
- | * definována normou ISO/EC 27000 | + | * definována normou ISO/IEC 27000 |
* plán zvládání rizik | * plán zvládání rizik | ||
* určuje způsob zabezpečení dat v dané organizaci | * určuje způsob zabezpečení dat v dané organizaci | ||
Řádek 176: | Řádek 222: | ||
= (Information Security Management System) ISMS je systém procesů zaměřený na přístup organizace k Rizikům a musí být „šitý“ na míru konkrétní organizaci. | = (Information Security Management System) ISMS je systém procesů zaměřený na přístup organizace k Rizikům a musí být „šitý“ na míru konkrétní organizaci. | ||
- | * nadřazené, nebo součástí ITSP | + | <box 90% red|Řízení informační bezpečnosti> |
+ | Proces posuzování každého z informačních aktiv organizace a potřebné průběžné zajišťování jejich ochrany. | ||
+ | </box> | ||
+ | |||
+ | * součást systému procesů podporujících plnění cílů organizace | ||
+ | * podmnožina procesů pro řízení IT | ||
+ | * orientace na ochranu a zabezpečení informačních aktiv organizace | ||
+ | |||
+ | |||
+ | - systematické posuzování vlastností systémů, technologií a médií používaných pro informační aktiva | ||
+ | - odhadování nákladů vyvolaných narušením informační bezpečnosti | ||
+ | - vývoj a nasazování protiopatření vůči (známým) hrozbám | ||
+ | |||
+ | * Politika Informační Bezpečnosti -- co a proti čemu bránit | ||
+ | * Politika ISMS -- jak navrhovat, vyvíjet, provozovat a hodnot procesy plnící politiku Informační Bezpečnosti | ||
+ | |||
+ | |||
+ | * Bázová myšlenka: Plan-Do-Check-Act | ||
+ | |||
* předpoklady ISMS: | * předpoklady ISMS: | ||
* vypracovaná BP | * vypracovaná BP | ||
Řádek 257: | Řádek 322: | ||
* Kategorie jednotlivých kriterií: | * Kategorie jednotlivých kriterií: | ||
- | * Vysoká záruka | + | * **Vysoká záruka** |
* dané bezpečnostní opatření byly prokázané manuální kontrolou zdrojového kódu aplikace | * dané bezpečnostní opatření byly prokázané manuální kontrolou zdrojového kódu aplikace | ||
* **Střední záruka** | * **Střední záruka** | ||
Řádek 269: | Řádek 334: | ||
* Celá aplikace se pak ohodnotí podle toho jak kritéria vyhovují. | * Celá aplikace se pak ohodnotí podle toho jak kritéria vyhovují. | ||
+ | |||
+ | === Bezpečnostní audit === | ||
+ | |||
+ | * Kontrola, zda byly bezpečnostní procedury definovány správně. | ||
+ | * Detekce neošetřených bezpečnostních děr, zranitelností nepokrytých adekvátními bezpečnostními opatřeními. | ||
+ | |||
+ | * Prováděn nezávislou autoritou. | ||
+ | |||
===== Zdroje ===== | ===== Zdroje ===== | ||