hledat
Rozdíly
Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
| Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze | ||
|
mgr-szz:in-pos:9-pos [2019/06/12 12:16] lachmanfrantisek vypracování |
mgr-szz:in-pos:9-pos [2020/04/12 16:56] (aktuální) |
||
|---|---|---|---|
| Řádek 14: | Řádek 14: | ||
| ==== Principy řízení bezpečnosti v organizaci ==== | ==== Principy řízení bezpečnosti v organizaci ==== | ||
| - | <box 90% red|Bezpečnost> | + | <box 90% red|Bezpečnost (Security)> |
| Vlastnost prvku (např. IS), který je na určité úrovni chráněn proti ztrátám nebo také stav ochrany (na určité úrovni) proti ztrátám. | Vlastnost prvku (např. IS), který je na určité úrovni chráněn proti ztrátám nebo také stav ochrany (na určité úrovni) proti ztrátám. | ||
| + | </box> | ||
| + | <box 90% red|Bezpečnost (Security)> | ||
| + | Ochránění proti úmyslným škodám na aktivech. | ||
| </box> | </box> | ||
| - | - Prevence | ||
| - | - Detekce | ||
| - | - Reakce | ||
| * **Aktiva**: data, zdroje,... (s hodnotou) | * **Aktiva**: data, zdroje,... (s hodnotou) | ||
| * **Zranitelnost** (systému) | * **Zranitelnost** (systému) | ||
| + | * slabina využitelná ke způsobení škod/ztrát organizaci útokem | ||
| * s útočníkem vzniká **hrozba** | * s útočníkem vzniká **hrozba** | ||
| * **Útok**: realizace hrozby | * **Útok**: realizace hrozby | ||
| * výsledek **úspěšných** nebo **neúspěšný** | * výsledek **úspěšných** nebo **neúspěšný** | ||
| * **Riziko**: pravděpodobnost útoku (uplatnění hrozby) | * **Riziko**: pravděpodobnost útoku (uplatnění hrozby) | ||
| + | |||
| + | * Řízení bezpečnosti musí v organizaci fungovat jako součást celkového systému řízení organizace. | ||
| + | * Systém řízení bezpečnosti musí být přiměřený a šitý na míru konkrétní organizaci (politiky a procesy musí odrážet styl a kulturu organizace, přijaté politiky a procesy musí odrážet výsledky ohodnocení rizik). | ||
| + | * Technologie budování systému řízení bezpečnosti je definována standardy. | ||
| + | |||
| ==== Řízení rizik ==== | ==== Řízení rizik ==== | ||
| Řádek 33: | Řádek 39: | ||
| = minimalizace rizik | = minimalizace rizik | ||
| - | 4 fáze: | + | <note tip> |
| + | Generické principy pro řízení projektů. V kontextu informační bezpečnosti: | ||
| - | - **Ohodnocení rizik**: analýza a vyhodnocení | + | Identifikace potřeb organizace |
| + | * z pohledu zajištění informační bezpečnosti | ||
| + | * z pohledu vytvoření účinného (efektivního) ISMS | ||
| + | </note> | ||
| + | |||
| + | Procesy: | ||
| + | |||
| + | - **Ustanovení kontextu** | ||
| + | - **Ohodnocení rizik**: | ||
| + | * identifikace | ||
| + | * analýza (určení velikosti rizik) | ||
| + | * vyhodnocení rizik | ||
| - **Zvládání rizik**: výběr a implementace opatření snižujících rizika | - **Zvládání rizik**: výběr a implementace opatření snižujících rizika | ||
| - | - **Akceptace rizik**: rozhodování o přijatelnosti rizika informovanost o rizicích | + | - **Akceptace rizik**: rozhodování o přijatelnosti rizika |
| + | - **Informovanost o rizicích**: informování všech, kteří mohou být rizikem zasaženi | ||
| + | - **Monitorování a přezkoumávání rizik a procesu řízení rizik** | ||
| Řádek 50: | Řádek 70: | ||
| - | * **kvalitativní** | + | * **kvantitativní** |
| * ➕ velmi srozumitelný výstup (nejčastěji v $$$) | * ➕ velmi srozumitelný výstup (nejčastěji v $$$) | ||
| * **kvalitativní** | * **kvalitativní** | ||
| Řádek 73: | Řádek 93: | ||
| <box 90% blue|CRAMM> | <box 90% blue|CRAMM> | ||
| - | * 1985 – Vláda UK – Risk Analysis and Management Method | + | * 1985 – Vláda UK – CCTA Risk Analysis and Management Method |
| * Strukturovaný přístup ve třech fázích: | * Strukturovaný přístup ve třech fázích: | ||
| * Identifikace a ocenění hodnot. | * Identifikace a ocenění hodnot. | ||
| Řádek 137: | Řádek 157: | ||
| * Většinou psána normálním jazykem, lze ale použít i nějaký druh formalismu. | * Většinou psána normálním jazykem, lze ale použít i nějaký druh formalismu. | ||
| - | * **Celková bezpečnostní** politika | + | * **Celková bezpečnostní politika** |
| * Určitá míra nezávislosti na použitých IT. | * Určitá míra nezávislosti na použitých IT. | ||
| * Citlivá data, zodpovědnosti, základ infrastruktury. | * Citlivá data, zodpovědnosti, základ infrastruktury. | ||
| * Horizont nad 5 let. | * Horizont nad 5 let. | ||
| - | * Systémová bezpečnostní politika | + | * **Systémová bezpečnostní politika** |
| * Zohledňuje použité IT, konkretizace CBP. | * Zohledňuje použité IT, konkretizace CBP. | ||
| * Horizont obvykle cca 2-3 roky. | * Horizont obvykle cca 2-3 roky. | ||
| * Další specifické politiky: provozní, personální, intranetová,... | * Další specifické politiky: provozní, personální, intranetová,... | ||
| + | |||
| Řádek 150: | Řádek 171: | ||
| * **ITSP = IT Security Policy** | * **ITSP = IT Security Policy** | ||
| - | * Zavedena obvykle v přirozeném jazyce. | + | * = dokumentovaný souhrn bezpečnostních zásad, pravidel, směrnic, předpisů pro ochranu informačních aktiv. |
| - | * Horizont cca 5-10 let. | + | |
| - | * ochrana **informačních aktiv** | + | |
| - | * Obsahuje: | + | * zavedena obvykle v přirozeném jazyce |
| + | * definuje: | ||
| + | * bezpečné používání IT v rámci organizace | ||
| + | * třídu (sílu) útočníků, vůči kterým se informace zabezpečují | ||
| + | * stanovuje: | ||
| + | * koncepci informační bezpečnosti v horizontu 5-10 let | ||
| + | * co jsou citlivá informační aktiva | ||
| + | * bezpečnostní infrastrukturu organizace z pohledu informační bezpečnosti | ||
| + | * obsahuje: | ||
| * hodnocení rizik | * hodnocení rizik | ||
| * cíle opatření | * cíle opatření | ||
| Řádek 160: | Řádek 187: | ||
| * klasifikace informací | * klasifikace informací | ||
| * plán zachování kontinuity | * plán zachování kontinuity | ||
| + | * nezávislá na konkrétně použitých IT | ||
| + | |||
| + | * Vybrané bezpečnostní zásady: | ||
| + | * separace odpovědností | ||
| + | * dublování autorizace vysoce citlivých systémů | ||
| + | |||
| + | |||
| + | <box 90% red|Informační bezpečnost> | ||
| + | |||
| + | Soubor technologií, standardů, politik a manažerských praktik pro zajištění bezpečnosti informací. | ||
| + | |||
| + | Informace je bezpečná, pokud je: | ||
| + | * přístupná pouze oprávněným subjektům | ||
| + | * modifikovatelná pouze oprávněnými subjekty a | ||
| + | * do stanovené doby dostupná oprávněným subjektům | ||
| + | |||
| + | = je zajištěna: | ||
| + | * důvěrnost | ||
| + | * integrita | ||
| + | * dostupnost | ||
| + | </box> | ||
| + | |||
| + | |||
| <box 90% red|BP systému zpracování informací> | <box 90% red|BP systému zpracování informací> | ||
| * zúžení ITSP | * zúžení ITSP | ||
| - | * definována normou ISO/EC 27000 | + | * definována normou ISO/IEC 27000 |
| * plán zvládání rizik | * plán zvládání rizik | ||
| * určuje způsob zabezpečení dat v dané organizaci | * určuje způsob zabezpečení dat v dané organizaci | ||
| Řádek 172: | Řádek 222: | ||
| = (Information Security Management System) ISMS je systém procesů zaměřený na přístup organizace k Rizikům a musí být „šitý“ na míru konkrétní organizaci. | = (Information Security Management System) ISMS je systém procesů zaměřený na přístup organizace k Rizikům a musí být „šitý“ na míru konkrétní organizaci. | ||
| - | * nadřazené, nebo součástí ITSP | + | <box 90% red|Řízení informační bezpečnosti> |
| + | Proces posuzování každého z informačních aktiv organizace a potřebné průběžné zajišťování jejich ochrany. | ||
| + | </box> | ||
| + | |||
| + | * součást systému procesů podporujících plnění cílů organizace | ||
| + | * podmnožina procesů pro řízení IT | ||
| + | * orientace na ochranu a zabezpečení informačních aktiv organizace | ||
| + | |||
| + | |||
| + | - systematické posuzování vlastností systémů, technologií a médií používaných pro informační aktiva | ||
| + | - odhadování nákladů vyvolaných narušením informační bezpečnosti | ||
| + | - vývoj a nasazování protiopatření vůči (známým) hrozbám | ||
| + | |||
| + | * Politika Informační Bezpečnosti -- co a proti čemu bránit | ||
| + | * Politika ISMS -- jak navrhovat, vyvíjet, provozovat a hodnotit procesy plnící politiku Informační Bezpečnosti | ||
| + | |||
| + | |||
| + | * Bázová myšlenka: Plan-Do-Check-Act | ||
| + | |||
| * předpoklady ISMS: | * předpoklady ISMS: | ||
| * vypracovaná BP | * vypracovaná BP | ||
| Řádek 253: | Řádek 322: | ||
| * Kategorie jednotlivých kriterií: | * Kategorie jednotlivých kriterií: | ||
| - | * Vysoká záruka | + | * **Vysoká záruka** |
| * dané bezpečnostní opatření byly prokázané manuální kontrolou zdrojového kódu aplikace | * dané bezpečnostní opatření byly prokázané manuální kontrolou zdrojového kódu aplikace | ||
| * **Střední záruka** | * **Střední záruka** | ||
| Řádek 265: | Řádek 334: | ||
| * Celá aplikace se pak ohodnotí podle toho jak kritéria vyhovují. | * Celá aplikace se pak ohodnotí podle toho jak kritéria vyhovují. | ||
| + | |||
| + | === Bezpečnostní audit === | ||
| + | |||
| + | * Kontrola, zda byly bezpečnostní procedury definovány správně. | ||
| + | * Detekce neošetřených bezpečnostních děr, zranitelností nepokrytých adekvátními bezpečnostními opatřeními. | ||
| + | |||
| + | * Prováděn nezávislou autoritou. | ||
| + | |||
| ===== Zdroje ===== | ===== Zdroje ===== | ||
