14
2
Obsah prezentace
Informační rizika a bezpečnost informací
Základní prvky řízení rizik
Potřeby řízení rizik
Řízení rizik a veřejná správa
Motto: Kdo chce vyřadit každé riziko, ten také zničí všechny šance.
3
Zákon č. 365/2000 Sb., o ISVS
§ 5b
Bezpečnost informačních systémů veřejné správy
(1) Orgány veřejné správy zajišťují bezpečnost informačních systémů veřejné správy v rozsahu daném prováděcím právním předpisem. Prováděcí právní předpis dále stanoví minimální bezpečnostní požadavky k zajištění důvěrnosti, integrity a dostupnosti zpracovávaných informací.
(2) Orgány veřejné správy odpovídají za výběr a zavedení přiměřených bezpečnostních opatření odpovídajících minimálním bezpečnostním požadavkům.
4
Pravidla řízení bezpečnosti
ČSN ISO/IEC 27001:2006 – Systém řízení bezpečnosti informací – Požadavky
mezinárodní podoba známé normy BS 7799-2,definuje postup řízení bezpečnosti a způsob výběru bezpečnostních opatření,Návrh systému řízení se opírá především o analýzu a zvládání informačních rizik.
ČSN ISO/IEC 17799:2006 – Soubor postupů pro řízení bezpečnosti informací
katalog 133 bezpečnostních opatření s doporučením pro realizaci.
5
Základní prvky řízení rizik
Analýza informačních rizikurčení hodnoty chráněných aktividentifikování možných hrozeb a jejich dopadůurčení účinnosti existujících opatření
Zvládání informačních rizikurčení nezbytnosti a způsobu snižování míry rizikavýběr vhodných bezpečnostních opatření
Kvalita analýzy a zvládání rizik rozhoduje o účinnosti a efektivnosti řízení bezpečnosti informací.
6
Klasické metody řízení
Mají zdůrazněnu analytickou povahusnaha o vysokou přesnost analytických výsledků.
Vysoká časová náročnost provedení analýzyanalýzy prováděny s omezenou periodou (1 až 3 roky).
Složité a nečitelné vnitřní vazbyomezené schopnosti dále s riziky pracovat,omezené možnosti reagovat na provozní zkušenosti.
Metody nejsou určeny pro každodenní řízení rizikhlavním cílem metod jsou převážně jednorázové analýzy,omezená integrace externích informačních zdrojů.
7
Co dnes potřebujeme?
Každodenní řízení rizikúroveň rizika by měla být určena rychle,riziko by mělo být včas předáno a správně zvládáno,sledování rizika během jeho zvládání,úzké propojení (splynutí) s řízením bezpečnosti
Zapojení širokého spektra informačních zdrojůjiž existující znalosti o rizicích,informace získávané během kontroly bezpečnosti,metody sebehodnocení,podměty uživatelů apod.
Přehled a evidenci informačních rizik.
8
Jednoduchá metoda řízení rizik
Doporučení BITS pro hodnocení rizikRiziko = Dopady * Hrozba * Zranitelnost
Stupnice pro hodnocení aktiv ICT Stupnice pro hodnocení rizik
vyjádření výše možných dopadů,vyjádření pravděpodobnosti hrozby,vyjádření pravděpodobnost zranitelnosti.
Organizace si musí ujasnitpravidla a postupy pro zvládání rizik (priority pro výběr opatření),pravidla a postupy pro akceptování zbytkových rizik.
9
Struktura pro řízení rizik
Základem je efektivní propojení řízení rizik s konkrétním prostředím informačních a komunikačních systémů
jednoznačné rozdělení prostředí ICT,
jasné určení odpovědností,
definování role manažera rizik,
způsoby komunikace manažera rizik,
pravidla pro eskalaci rizik.
10
Využít různých informačních zdrojů
Využití již provedených analýz rizik.
Využití výsledků řešení bezpečnostních incidentů.
Využití výsledků bezpečnostních testů.
Využití zpráv z auditu bezpečnosti a provozu.
Využití podnětů pro zlepšení bezpečnosti a provozu.
Využití sebehodnocení rizik.
Využití výsledků nově provedených analýz rizik.
11
Řízení rizik a veřejná správa
Decentralizovaná struktura řízení VSzahrnuje informatiku i informační rizika,
není možné účinně centralizovat,
potřeba prohlubovat vztahy důvěry.
Bezpečná výměna datzákladem je sladění představ o úrovni přijatelných rizik,
potřeba použití obdobných principů řízení rizik,
potřeba použití shodných stupnic pro vyjádření rizik,
nalezení společného jazyka je nejjednodušším řešením.
12
Stupnice pro ohodnocení rizik
Fungování registru rizik
Stupnice dopadůAnalýzy rizik
Stupnice zranitelnosti
Stupnice hrozeb
Bezpečnostníincidenty
Bezpečnostní testy
Bezpečnostní audity
Sebehodnoceníbezpečnosti
Přidělení rizik
Výběr opatření
Akceptování rizik
Zbytková rizika
Eskalace rizik
Registr rizik ICT
Dalšípodněty
13
Závěr
Řízení rizik je základem ekonomicky smysluplné bezpečnosti informací.
Potřeba aplikovaní vhodných metod řízení rizik při řízení každodenních aktivit.
Využití širokého spektra informačních zdrojů zpřesňuje a snižuje náročnost řízení rizik.
Pro veřejnou správu je důležité upřesnit společný jazyk – umožní otevřenou komunikaci o rizicích.
