Metriky a mer en informacn bezpecnosti 2
Navrh a pou zit metrik informacn bezpecnosti, me ren v ISMS
X Potrebuje mechanismy pro mer en efektivnosti
implementace bezpecnostnch opatren X Mer enm se zskavaj data podporujc investice do InSec, hodnocen u cinnosti opatren a pro identi kace moznost jak zvy sit jejich u cinnost
PV 017 Bezpecnost IT 2
Jan Staudek http://www. .muni.cz/usr/staudek/vyuka/ }
Organizace mus hodnotit vykonnost informacne-bezpecnostnch opatren a efektivnosti ISMS
Standard mer en informacn bezpecnosti X ISO/IEC 27004: 2009, Information technology | Security techniques
| Information security management | Measurement
w A| y < 5 4 23 1 0 / -. , )+ ( %&' $ # !"
Æ
Verze : podzim 2015 Jan Staudek, FI MU Brno
2
Co a kdy se mer a co je clem mer en urcuje politika organizace Procesy souvisejc s mer enm jsou do cyklu PDCA zaclenov any nasledovn e
2
2 2
PV017 { Metriky, me ren v z ivotnm cyklu ISMS
Clem mer en je poskytnut informac pro posouzen a prpadne zvy sen efektivnosti ISMS ISMS pracuje
2
|
1
X ISO 27001 narizuje provad et mer en pro demonstraci toho jak dobre 2
Jan Staudek, FI MU Brno
PV017 { Metriky, me ren v z ivotnm cyklu ISMS
Proc se mer ?
Metriky, mer en informacn bezpecnosti a ISMS 2
|
2
Zvysovan m efektivnosti ISMS se rozum zlepsovan vykonnosti nastroj u informacn bezpecnosti z pohledu celkovych podnikatelskych rizik organizace Mer en dodav a managementu vstupy pro prezkoumav an ISMS pro usnadnen rozhodovan souvisejcch s ISMS Mer enm se zskavaj dukazy pro zlepsen implementace ISMS Pro zskan dukaz u mus byt stanovene mry a metody mer en a postupy vyhodnocovan namer enych dat Jan Staudek, FI MU Brno
|
PV017 { Metriky, me ren v z ivotnm cyklu ISMS
3
Kroky navrhu a pouzit metrik
Co se mer
1. Vyb er objektu, pro ktere se navrhuj metriky 2. Inicialn semi-formaln interview se zainteresovanymi stranami 3. Navrh prvn verze metrik 4. Nasledn e semi-formaln interview se zainteresovanymi stranami 5. Dokoncen de nic metrik, metod mer en, . . . 6. Mer en pomoc navrzenych metrik 7. Agregace vysledk u na zaklad e zskanych dat a vytvoren zpravy o mer en
2
2 2
2
X Zskavan e metriky mus byt de novane, analyzovane a
Mer enym objektem mu ze byt implementovany proces ISMS, procedura, opatren, . . . objekt, ktery nejakou formou souvis s prosazovan m ITSec Mer eny objekt ma jednu nebo vce vlastnost Vlastnost { charakteristika rozlisitelna kvalitativne nebo kvantitativne, manualn e nebo automatickymi nastroji Mer se vlastnosti relevantn pro posouzen prnosu objektu pro dosazen pozadovane urovn e informacn bezpecnosti
vysledky analyzy ve vhodnem, nazorn em formatu (grafy, ruzn e barvene texty, . . . ) sdelene odpovednym rolm
Jan Staudek, FI MU Brno
|
PV017 { Metriky, me ren v z ivotnm cyklu ISMS
Jan Staudek, FI MU Brno
4
2 2 2
2
Mer enm objektu (procesu ISMS, procedury, opatren, . . . ) se rozum proces zskan informac o objektu Mer en probha podle jiste metody mer en, zskavaj se zakladn metriky Ze zakladn ch metrik se prpadne se pomoc urcite mer c funkce zskavaj odvozene metriky. Z obou typu metrik se pomoc relevantnho analytickeho modelu odvozuj indikatory splnen / nesplnen pozadovanych clu pouzit objektu (procesu ISMS, procedury, opatren, . . . ) Z indikator u se pomoc de novanych rozhodovacch kriteri odvozuje strucny a jednoznacny vysledek mer en Jan Staudek, FI MU Brno
|
PV017 { Metriky, me ren v z ivotnm cyklu ISMS
PV017 { Metriky, me ren v z ivotnm cyklu ISMS
5
Metriky
Mer en, metriky, metody, modely, vysledek mer en 2
|
2 2
Metrika { promenna obsahujc informaci zskanou mer enm Metriky nemus nutne byt objektivn, hmatatelne, konkretn X mohou byt i subjektivn, neurcite, X napr. vysledky interview, auditu,
hodnocen dopadu bezpecnostnch s kolen { rust bezp. vedom
2
Metriky nemus nutne mt diskretn hodnoty X lze pouzt vyhodnocovan toho co a jak lide r kaj
2
System zskav an metrik nemus byt nakladn y, lze vyuzt existujc zdroje typu X statistiky z Help desk X sledovan reakc zakazn ku X sledovan frekvenc r esen bezp. problem u managementem, . . .
6
Jan Staudek, FI MU Brno
|
PV017 { Metriky, me ren v z ivotnm cyklu ISMS
7
Metriky 2 2
Metriky
Metrika mus byt SMART (Speci c, Measurable, Actionable, Relevant, Timely) Pravidlo 80/20
2 2
X zamer se na tech 20% z moznych metrik, ktere odpov na 80 % otazek 2 2
X Stupnice {
Identi kovane metriky mus byt snadno mer itelne, nejlepe automaatizovane Rozmery, mry, nemus nutne byt absolutn
usporadan a mnozina spojitych (metrickych) nebo diskretn ch hodnot vlastnost mer eneho objektu nebo mnozina kategori, do kterych se zobrazuj vlastnosti mer eneho objektu X Typ stupnice je dany vztahem mezi hodnotami ve stupnici X Vyjad ren metriky numericky c i procentem redukuje subjektivnost
X vaha se mer na kp, delka na m X hodnota vysledku mer en bezpecnostn vlastnosti mu ze byt
vyjadrovana indexem ve s kale, pouzita s kala mu ze byt subjektivn
Jan Staudek, FI MU Brno
|
PV017 { Metriky, me ren v z ivotnm cyklu ISMS
8
Jan Staudek, FI MU Brno
Nominaln stupnice {
2
kvalitativn stupnice o jejz dvou hodnotach mu zeme pouze r ci, zda jsou stejne c i ruzn e. Hodnotami mohou byt texty c i c selne kody, lze u nich zjist'ovat jen rozdelen c etnost, nemu zeme s nimi provad et aritmeticke operace (sctat apod.)
2
Sestav a ze dvou c i vce vzajemn e se vylucujcch kategori (trd). Hrozby: podvod, ztrata ´ duvˇ ˚ ernosti, znepˇr´ıstupnˇen´ı, . . .
Jan Staudek, FI MU Brno
|
PV017 { Metriky, me ren v z ivotnm cyklu ISMS
|
PV017 { Metriky, me ren v z ivotnm cyklu ISMS
9
S kala, stupnice (scale)
S kala, stupnice (scale) 2
Prlis c aste mer en mu ze byt namahav e a drahe, nzka frekvence mcr en mu ze poskytovat irelevantn data Namer ene hodnoty se vesmes vyjadruj pomoc vhodnych stupnic
10
Ordinaln (poradnicova) stupnice { kvalitativn stupnice u jejz dvou hodnotach mu zeme navc urcit porad, pricemz useky mezi jednotlivymi hodnotami nemus byt stejne (stejne vyznamn e) Riziko: zanedbateln´e, bˇezˇ n´e, katastrofick´e, . . . Intervalova stupnice { kvantitativn stupnice pro jejz dve hodnoty mu zeme navc (k moznostem ordinaln ) vypoctat, o kolik je jedna hodnota vets (resp. mens) nez druha, nulova pozice je vec volby. Mer ene useky na stupnici jsou stejne velke. Nelze vyjadrovat pomer { 2 x vets IQ 6= 2 x vets chytrost Jan Staudek, FI MU Brno
|
PV017 { Metriky, me ren v z ivotnm cyklu ISMS
11
S kala, stupnice (scale) 2
Pragmaticke uvahy o navrhu mer en bezpecnosti
Pomerova, racionaln stupnice {
2
kvantitativn stupnice pro jejz dve hodnoty mu zeme navc (k moznostem kvalitativn) vypoctat, kolikrat je jedna hodnota vets (resp. mens) nez druha, obsahuje pouze o kladne hodnoty.
Co mer it ? X jen to, co chceme opakovane, systematicky, rutinne vyhodnocovat X sbrame jen ta data, ktera budeme analyzovat X delame jen ty analyzy, jejichz vysledky prakticky vyuzijeme
2
Jak mer it ? X Musme de novat kdo dela mer en X Musme vedet jak bezpecne uchovavat vysledky mer en X Zacname s minimaln m rozsahem mer en a mer en rozsirujeme
Nulova pozice na pomerove stupnici je dana pevne a vyjadruje naprostou neprtomnost mer ene vlastnosti.
az kdyz se uka ze nutnost mer en rozsr it, metoda KISS (Keep It Simple and Stupid)
Neco se deje 2x c asteji nez neco jineho. 2
Jak dokumentovat, jak prezentovat vysledky mer en ? X viz system zprav v nasleduj cm vykladu X musme de novat jak implementovat zpravodajsky system
Jan Staudek, FI MU Brno
|
PV017 { Metriky, me ren v z ivotnm cyklu ISMS
12 Jan Staudek, FI MU Brno
|
PV017 { Metriky, me ren v z ivotnm cyklu ISMS
13
Model mer en informacn bezpecnosti
Prezentace vysledk u mer en System zprav ma predpisovat bezpecnostn politika, napr. 2 2
vyro cn velmi duv erna hodnotc zprava pro CEO (Chief Executive Officer) a predstavenstvo c tvrtletn duv erny report pro vyss management organizace odpovedny stav bezpecnosti X obe zpravy typicky podav a bezpecnostn architekt
vychaz typicky z mesc nch reportu { viz nz e
2
mesc n reporty pro CTO (Chief Technology Officer ) / CIO (Chief Information Officer) / CISO (Chief Information Security Officer) X zpravy podavaj role odpovedne za vykon/ rzen bezpecnosti Jan Staudek, FI MU Brno
|
PV017 { Metriky, me ren v z ivotnm cyklu ISMS
14
Jan Staudek, FI MU Brno
|
PV017 { Metriky, me ren v z ivotnm cyklu ISMS
15
Kroky pri konstrukci vysledku mer en
Zakladn metriky a metody mer en 2
Zakladn metrika je dana metodou mer en a mer enou vlastnost objektu mer en
2
Metoda mer en X Genericky popsany logicky sled operac pro
kvanti kaci vlastnost mer eneho objektu v dane s kale hodnot X Typ metody mer en zavis na povaze operac pouzitych pro kvanti kaci vlastnost: - Subjektivn: kvanti kace zahrnujc lidsky usudek - Objektivn: kvanti kace na zaklad e numerickych pravidel X Operac mu ze byt c tan vyskyt u, sledovan behu c asu, audit, interview, . . .
Jan Staudek, FI MU Brno
|
PV017 { Metriky, me ren v z ivotnm cyklu ISMS
16
Jan Staudek, FI MU Brno
Prklad zakladn metriky, metody mer en, . . .
X X X
2 2 2
zamestnanci identi kovan v planu s kolen, zamestnanci, kter usp es ne absolvovali s kolen Metody mer en { c tan zamestnancu v planu s kolen a zamestnancu s usp es ne slozenou zav erecnou zkouskou po s kolen Zakladn metriky { pocty planovan ych/ usp es ne proskolenych osob Odvozenou metrikou je trend proskolovan v prub ehu roku, zskanou vhodnou mer c funkc ze zakladn ch metrik Pro odvozen indikace problematickeho trendu se pouzij { vhodny analyticky model, { zakladn a odvozene metriky a { adekvatn rozhodovac kriteria (problemem je jak pre- i poddimenzovan rychlosti proskolovan ) Jan Staudek, FI MU Brno
|
PV017 { Metriky, me ren v z ivotnm cyklu ISMS
PV017 { Metriky, me ren v z ivotnm cyklu ISMS
17
Vybrane prklady predmetu (objektu) mer en
X Clem je mer en trendu vyhoven politice Zajiˇst’ovan´ ´ ı vˇedom´ı zamˇestnancu˚ o informaˇcn´ı bezpeˇcnosti X Predmet (objekt) mer en { system s kolen v ITSec X Mer ene vlastnosti {
X
|
2 2 2 2
18
Vykonnost opatren implementovanych v ISMS Stav informacnch aktiv chran enych opatrenmi Vykon procesu implementovanych v ISMS Chovan personalu podlehaj cho implementovanemu ISMS Cinnosti organizacnch jednotek odpovednych za informacn bezpecnost Urove n spokojenosti zu castnenych stran ...
Jan Staudek, FI MU Brno
|
PV017 { Metriky, me ren v z ivotnm cyklu ISMS
19
Zdroje informac o predmetech mer en a jejich vlastnost 2 2 2 2 2 2 2
Potencialn metriky bezpecnosti informac, ISO/IEC 27004
Vysledky analyzy rizik a posuzovan rizik Dotaznky a interview Zpravy internch a / nebo externch auditu Zaznamy o udalostech, jako jsou protokoly (logy), statisticke udaje a zjisten z auditu Zpravy o incidentech, zejmena ty, ktere zpusobily s kody Vysledky testu, napr. penetracnch testu, socialn ho inzenyrstv , vyhoven regulacnm opatrenm a politikam Zaznamy z procedur a programu souvisejcch s informacn bezpecnost organizace, napr. vysledky s kolen o informacn bezpecnosti Jan Staudek, FI MU Brno
|
PV017 { Metriky, me ren v z ivotnm cyklu ISMS
2
X pocty a trendy zmen z duvod u odhalen
katastro ckych, vyznamn ych, bez nych, akceptovatelnych rizik X pocty a trendy navrat u k predchozm r esenm X pocty a trendy usp es nych vs. neusp es nych zmen 2
za jak dlouho se zaplaty umst na vce nez 50% zranitelnych system u
2
20
X Zava znost A { zjisteny nedostatek je velmi zava zny (velmi vyznamn y).
Velmi vyznamn e narusuje bezpecnost systemu. Doporucujeme co nejrychlejs (pokud mozno okamzite) odstranen nedostatku. V prpade noveho systemu doporucujeme odstranen nedostatku jeste pred jeho nasazenm. X pokrac.
PV017 { Metriky, me ren v z ivotnm cyklu ISMS
|
PV017 { Metriky, me ren v z ivotnm cyklu ISMS
21
X Zava znost B { zjisteny nedostatek je stredne zava zny (vyznamn y).
Prklad doporucen auditoru ve s kale klasi kac zjistenych nedostatku
|
Jan Staudek, FI MU Brno
Potencialn metriky bezpecnosti informac, ISO/IEC 27004
Statistiky odvozene z auditu externch auditoru
Jan Staudek, FI MU Brno
Statistiky dopadu s kodliveho software X pocty viru, Trojskych kon u, spamu, trendy techto poctu
X pocty a trendy poctu doporucen auditoru X krizova, va zna, upozornovac odhalen, . . . X trendy akceptovan doporucen z auditu managementem 2
metriky vyzrav an IT procesu souvisejcch s bezpecnost X polocas aplikace bezpecnostnch zaplat {
Potencialn metriky bezpecnosti informac, ISO/IEC 27004 2
Statistiky zmen IT
22
Ohrozuje bezpecnost systemu, avsak ohrozen nen bezprostredn nebo nen velmi zava zne. Nedostatek by mel byt odstranen pri nejblizs vhodne prlezitosti. X Zava znost C { zjisteny nedostatek nen zava zny, neznamena konkretn ohrozen bezpecnosti systemu, ale mu ze byt povazovan za prestupek proti bezpecnostnm zvyklostem. Hodnotitele doporucuj odstranen tohoto nedostatku pri vhodne prlezitosti, nerespektovan tohoto doporucen nemus vest k ohrozen bezpecnosti systemu. X Zava znost nen { zjisteny nedostatek nen zava zny, neznamena konkretn ohrozen bezpecnosti systemu, ale mu ze byt povazovan za prestupek proti bezpecnostnm zvyklostem. Vetsinou se jedna o prpady, kdy hodnotitele si jsou vedomi skutecnosti, z e za soucasneho stavu technologie nen k dispozici prijatelne technicke r esen, ktere by toto relevantne odstranilo.
Jan Staudek, FI MU Brno
|
PV017 { Metriky, me ren v z ivotnm cyklu ISMS
23
Potencialn metriky bezpecnosti informac, ISO/IEC 27004 2
Potencialn metriky bezpecnosti informac, ISO/IEC 27004
Konkretn prklady zjistenych nedostatku a jejich klasi kac
X Zava znost nen {
Heslo BIOS je u vsech poctacu stejne, men se ve vceletych intervalech. Skutecnost, z e toto heslo je znamo i externm pracovnkum je bezpecnostnm rizikem, avsak za soucasneho stavu technologie nen k dispozici prijatelne technicke r esen, ktere by toto riziko odstranilo.
X Zava znost A {
Procesy pro tisk PINu vyzaduj, aby na tiskovem poctaci bylo rucne meneno systemov e datum na ktivn hodnoty. Tato praxe je nezadouc , je v rozporu s pozadavky na bezpecne protokolovan . Ve vyvojov em nebo v testovacm prostred se pouzvaj z iva data o zakazn cch. X Zava znost B { K tiskovemu PC se pracovnci prihlasuj jedinym spolecnym uzivatelskym jmenem. Jednotliv pracovnci nemaj individualn u cty. X Zava znost C { V session-ID systemu XXXX nen zabudovana IP adresa klienta, ktery vytvoril pozadavek (je zde tedy potencialn hrozba, zda nen mozne unest sezen na jinou IP adresu). Jan Staudek, FI MU Brno
|
PV017 { Metriky, me ren v z ivotnm cyklu ISMS
Potencialn metriky bezpecnosti informac, ISO/IEC 27004 2
Jan Staudek, FI MU Brno
24
Statistiky odvozene z auditu oddelenm vnitrn kontroly
2
Statistiky Help Desk
2
2
X pocty a trendy poctu prunik u, phishing utok u, ... X hodnocen detekc a efektivnost naprav
|
PV017 { Metriky, me ren v z ivotnm cyklu ISMS
Statistiky z rewallu
Statistiky zranitelnost system u a st'ovych prostred X pocty znam ych zranitelnych mst X pocty a trendy jejich likvidac, objevovan X rychlost oprav zaplatami od vyrobc u
Statistiky bezpecnostnch incidentu
Jan Staudek, FI MU Brno
25
X pocty a trendy poctu prstupu na zakazan e zdroje z organizace X pocty a trendy poctu hackerskych utok u
X pocty a typy dotazu, z adost , upozornen, kritik, . . . X pocty z adost o zmenu hesla, . . . 2
PV017 { Metriky, me ren v z ivotnm cyklu ISMS
Potencialn metriky bezpecnosti informac, ISO/IEC 27004
X obvykle jsou detailnejs, pokryvaj vce problem u organizace X mohou byt ale men e objektivn 2
|
26
...
Jan Staudek, FI MU Brno
|
PV017 { Metriky, me ren v z ivotnm cyklu ISMS
27
Prklady metrik opatren na urovni aplikacn bezpecnosti 2
Prklady metrik opatren na urovni aplikacn bezpecnosti
Sprava tajnych autentizacnch informac uzivatelu
2
X % aplikac s implicitnm heslem prodejce software X % aplikac s podporou politiky hesel 2
X % aplikac sledovanych v rezimu 24x7x365 X % aplikac s pravidelne provad enou analyzou zaznam u udalost
Hodnocen prstupovych prav uzivatelu
2
X % kritickych aplikac s periodicky posuzovanymi prstupovymi pravy 2
Zaznamenav an bezpecnostnch udalost
Prejmac testovan systemu X % aplikac splnuj cch zakladn bezpecnostn standardy X % aplikac s vypracovanym planem zachovan c innosti
Omezovan prstupu k informacm X % aplikac s dokumetovanymi rolemi a opravn enmi
2
Separace vyvojov eho, testovacho, akceptacnho a provoznho prostred X % kritickych aplikac ktere maj de novana tato prostred
Jan Staudek, FI MU Brno
|
PV017 { Metriky, me ren v z ivotnm cyklu ISMS
28
Jan Staudek, FI MU Brno
castnci mer en U 2
2
X
X
bezpecnostn management a pro management . . . , jsou to klienti mer en (Clients for measurement) Princip mer en validuje bezpecnostn manazer, je hodnotitel mer en (Reviewer for measurement) Vlastnky informac o mer enych objektech jsou . . . spravce informacn bezpecnosti, manazer . . . , jsou to vlastnci informac (Information Owners) Data nutna pro mer en shromazd'uje, zaznamenav a a uchovav a . . . IT oddelen, . . . , jejich zamestnanci jsou mer ici (Information Collectors) Analyzu a zverejnen vysledk u mer en provad ej manazeri odpovedn za ISMS, jsou interpretato ri vysledk u mer en (Information Communicators) Jan Staudek, FI MU Brno
|
PV017 { Metriky, me ren v z ivotnm cyklu ISMS
29
Nazev mer en X Obnova ze zalohy
X Mer en poskytuje informace pro . . . management ISMS,
X
PV017 { Metriky, me ren v z ivotnm cyklu ISMS
Prklad zaveden mer en (dokument)
castnci mer en U
X
|
2
selna (katalogova) C identi kace mer en X ...
2
Cl mer en X Zskan dukaz u potvrzujcch platnost zaruky,
z e se kazda pozadovana operace obnovy provede do 48 hodin
2
Mer eny objekt (bezpecnostn opatren) X Zalohovac postupy a procesy zajist'ujc integritu a dostupnost
informac a prostredku pro zpracovan informac, X Prijata politika zalohov an organizace zajist'uje pravidelne vytva ren a testovan zalo zn kopie informac a software 30
Jan Staudek, FI MU Brno
|
PV017 { Metriky, me ren v z ivotnm cyklu ISMS
31
Prklad mer en, Predmety mer en a jejich vlastnosti 2
Prklad mer en, Zakladn metriky a metody mer en
Podrobny vy cet predmetu (objektu) mer en
2
X O1: System spravy pozadavku na obnovu ze zalohy X O2: Zaznamy zalohovac ho systemu (logy) 2
Vlastnosti objektu O1, systemu spravy pozadavku na obnovu ze zalohy,
X B1: Pocet pozadavku na operaci obnovy X B2.1: Doby startu a ukoncen operac obnovy X B2.2: Pocet provedenych operac obnovy 2
X A1: Pozadavky na obnovovac operaci 2
za posledn mesc X M2.1: Zaznamenaj se doby startu a ukoncen vsech operac obnovy provedenych za posledn mesc X M2.2: Spoctaj se provedene operace obnovy za posledn mesc
X A2: Okamziky startu a ukoncen operac obnovy
|
PV017 { Metriky, me ren v z ivotnm cyklu ISMS
Jan Staudek, FI MU Brno
32
Prklad mer en, Zakladn metriky a metody mer en 2
Typy metod mer en
2
X pro B2.1: X pro B2.2:
33
Odvozene metriky a operac obnovy pozadovanych za posledn mesc, D1 = B2.2/B1 X D2: pocet operac obnovy provedenych za posledn mesc, D2 = B2.1 X D3: doby za ktere se provedly operace obnovy provedene za posledn mesc
integer, nominaln , pocet pozadavku na obnovovac operace
2
Mer c funkce, Fi vypoctav a Di X F1: del se pocet operac obnovy provedenych za posledn mesc
y-m-d-t, intervalova, {
poctem operac obnovy pozadovanych za posledn mesc X F2: spocta se pocet operac obnovy provedenych za posledn mesc X F3: pro kazdou operaci obnovy se spocta jak dlouho trvala, doba ukoncen { doba startu
integer, pomerova, pocty obnovovacch operac Jan Staudek, FI MU Brno
PV017 { Metriky, me ren v z ivotnm cyklu ISMS
X D1: pomer poctu operac obnovy provedenych za posledn mesc
Stupnice, typy stupnic, jednotky mer en X pro B1:
|
Prklad mer en, Speci kace odvozenych metrik
X Vsechny metody mer en jsou objektivn 2
Metody mer en, Mi.j mer zakladn metriku Bi.j X M1: Spoctaj se pozadavky na operaci obnovy zadane
Vlastnosti objektu O2, zaznam u zalohovac ho systemu
Jan Staudek, FI MU Brno
Zakladn metriky
|
PV017 { Metriky, me ren v z ivotnm cyklu ISMS
34
Jan Staudek, FI MU Brno
|
PV017 { Metriky, me ren v z ivotnm cyklu ISMS
35
Prklad mer en, Indikatory a analyticky model 2
Prklad mer en, Rozhodovac kriteria a vysledky mer en
Indikatory
2
X I1: kola covy graf vyjadrujc pomer pozadovanych operac obnovy,
X DC1: Mus byt provedeny vsechny operace obnovy X DC2: Vsechny operace obnovy mus byt provedeny do 48 hodin
ktere bylo mozne provest X I2: kola covy graf vyjadrujc pomer operac obnovy, ktere se provedly do 48 hodin
2
2
mus se zjistit duvody a tyto sdelit podle postupu de novaneho v ISMS zpravou X I2: Pokud se neprovedlo 100 % provedenych operac obnovy do 48 hodin, mus se zjistit duvody a a tyto sdelit podle postupu de novaneho v ISMS zpravou
X AM1: Pocet provedenych operac obnovy se vyjad r zelenou barvou,
pocet neprovedenych operac se vyjad r c ervenou barvou X AM2: Pocet provedenych operac obnovy do 48 hodin se vyjad r zelenou barvou, pocet provedenych operac za dels dobu se vyjad r c ervenou barvou
|
PV017 { Metriky, me ren v z ivotnm cyklu ISMS
36
Jan Staudek, FI MU Brno
castnci mer en, harmonogram Prklad mer en, U 2
Zpravu o vysledc ch mer en dostav a
2
(management jednotky pouzvajc zalohovan y system)
2
X spravce a tym zajist'ujc chod zalohuj cho systemu provad ejcho
sluzbu zalohov an
2 2 2 2
|
PV017 { Metriky, me ren v z ivotnm cyklu ISMS
37
Prklad mer en, Zprava
X vlastnk zalohovan eho systemu pouzvajcho sluzbu zalohov an
2
Interpretace indikator u Ii X I1: Pokud se neprovedlo 100 % pozadovanych operac obnovy,
Analyticky model, AMi generuje Ii
Jan Staudek, FI MU Brno
Rozhodovac kriteria
zprava mus mt strukturu predepsanou pro dokumenty v ISMS Nz e jsou ilustrovane pouze indikatory vypovdajc v tomto prpade o nzke kvalite zalohovac ho systemu
Hodnotitel mer en: bezpecnostn manazer Vlastnci informac: IT oddelen Mer ici: IT oddelen, spravci zalohovac ho systemu Interpretato ri: manazer ISMS Harmonogram: X perioda mer en, analyzy, generovan zpravy { mesc X perioda hodnocen a revize mer en { rok Jan Staudek, FI MU Brno
|
PV017 { Metriky, me ren v z ivotnm cyklu ISMS
38
Jan Staudek, FI MU Brno
|
PV017 { Metriky, me ren v z ivotnm cyklu ISMS
39