4. Budování bezpečnosti IS v organizaci, jednotlivé kroky, postup, analýza rizik, bezpečnostní politika – celková, systémová... Flashcards
Budování bezpečnosti IS
bezpečnostní politika:
- určuje přístupy k datům a IS
- určuje školení a pravidla týkající se bezpečnosti na pracovišti
analýza rizik = zjištění zranitelných míst systému – potencionální hrozby (přírodní, fyzické, technické a lidské)
Bezpečnost lze dělit na:
- Fyzickou – lidský faktor, přírodní jevy
- Logickou – systém, firewall
Důvody proč budovat bezpečné IS
Informace a IT jsou majetkem (aktivy) organizace, mají určitou finanční i nefinanční hodnotu
Bezpečný IS organizace zvyšuje její prestiž a sebevědomí, stává se pro partnery a klienty důvěryhodnější
Zvyšuje se konkurenceschopnost organizace
Bezpečnostní požadavky:
- Důvěrnost, autorizovaný přístup, dostupnost, integrita
Útoky v síťovém prostředí:
- odposlech
- Vyhledávání hesel – trojské koně, útok hrubou silou, slovníkový útok, …
- DoS, e-mail spam
- malware
Kroky a postupy
Analýza rizik – nalezení zranitelných míst a pravděpodobnost jejich zneužití
Bezpečnostní projekt, bezpečnostní audit
Zpracování studie bezpečnosti
- Bezpečnostní politika organizace
- Osnovy politiky – klasifikace, organizace, cíle, harmonogram
- Systémová bezpečnostní politika – soubor opatření a pravidel
- Funkce pro posouzení bezpečnosti, konkrétní zpracování analýzy rizik pro daný systém
Analýza rizik
Nejdůležitější dokument týkající se tvorby bezpečnosti v organizaci
Má za úkol identifikovat a kvantifikovat rizika a jejich možné následky a náklady na jejich odstranění
Bezpečnostní politika
určuje interní normy:
bezpečnostních zásady, postupy, standardy, směrnice a definuje zásady chování všech zaměstnanců i třetích stran
Celková bezpečnostní politika
Nezabývá konkrétními opatřeními, ale pojednává o konceptu budování bezpečnosti v organizaci
stručný ale důležitý dokument
Systémová bezpečnostní politika
Definuje způsob implementace bezpečnostní politiky v konkrétním prostředí daného systému
Jedná se o konkrétní bezpečností požadavky
Nejedná se jen o technické zabezpečení, ale o celý komplex opatření mající vliv na každého pracovníka organizace, organizační složky a techniku organizace
Havarijní plán
Dokument, ve kterém jsou popsány činnosti a opatření, které vedou ke zmírnění nebo odstranění následků mimořádné události (kyber útoku apod.)
Měl by být každému dostupný!
Obsahuje:
1,Průběh reakce na incident
2, Plán činnosti po útoku
3, Plán obnovy
Bezpečnostní funkce
Samotná realizace bezpečnostní politiky v organizaci
1, Preventivní – odstranění zranitelných míst
2, Heuristické – snižují rizika hrozby
3, Detekční a opravné – minimalizace škod útoku
4, SW – autorizace, autentizace, kódovaní, šifrování
5, HW – stínění, trezory, UPS, zámky, magnetické karty
6, Administrativní – školení, normy, vyhlášky
