Organizace a řízení rizik

Organizace a řízení rizik. Ing. Zdeněk Blažek, CSc. CISM. COMMERZBANK AG Jh. Katedra počítačových systémů Fakulta informačních technologiíí České vysoké učení technické v Praze © Zdeněk Blažek, 2011

Řízení rizik v informatice LS 2010/11, Předn. 9 https://edux.fit.cvut.cz/RRI

Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti Ing. Zdeněk Blažek, CSc. CISM.

Organizace a řízení rizik.

Přednáška 9/13, 2011

Organizace a řízení rizik, 9/13.

• Bezpečnostní politika IT jako součást širší platformy pro řízení rizik • Účel bezpečnostní politiky • Náležitosti bezpečnostní politiky IT • Smysl monitorování zaměstnanců • Základní podmínky pro bezpečnou organizaci • Náklady na bezpečnost

Organizace a řízení rizik, 9/13. Bezpečnostní politika IT jako součást širší platformy pro řízení rizik P Identifikace hrozeb a zranitelností

A

Plan RR – Registr rizik

Act

D

Sledování rizika

C

Control

RR

Nastavení protiopatření a jeho ev. financování

Do

Vyhodnocení dopadu a jeho pravděpodobnosti

ISO/IEC 2700x:2006

Organizace a řízení rizik, 9/13. Bezpečnostní politika IT jako součást širší platformy pro řízení rizik

• Politika řízení rizik

PROČ

– Rámec řízení rizik (Součástí rámce by měla rozhodně být IT bezpečnostní politika) CO • Návody a průvodce pro podrobnější práci v rámci životního cyklu) JAK – Detailní rozpracování např. ve vztahu k jednotlivým částem IT


Účel bezpečnostní politiky

• Základní rámec pro prosazování bezpečnosti IT v organizaci • Požadavky na bezpečnost IT pro účely zabezpečení činnosti organizace v rámci zákonů a předpisů. • Dokument pro zaměstnance – odůvodňuje ev. restrikce


Náležitosti bezpečnostní politiky IT jakožto dokumentu

• Politika musí říkat hlavně PROČ se uplatňují zásady pro ochranu IT prostředků a dat organizace • Vychází se z následujících bodů: – Shoda s předpisy a zákony – Řízení rizik – Požadavky auditu – Zkušeností v oboru

Organizace a řízení rizik, 9/13. Náležitosti bezpečnostní politiky IT jakožto dokumentu vyšší úrovně

• Dopis od představenstva • Obsah: – Proč je politika důležitá – Zodpovědnost zaměstnanců za bezpečnost – Základní principy politiky • • • • • •

Pochopení hodnoty informace Identifikace vlastníka informace Ohodnocení hrozeb a zranitelností Závazky zaměstnanců ve vztahu k informacím Shoda se zákony a předpisy Následky porušení bezpečnostních pravidel

– Role informační bezpečnosti a zaměstnanců pověřených její ochranou – Ostatní politiky vztažené k tematu – Odkazy na další podrobnější materiály (firemní návody, normy atd.) – Datum, účinnosti a č. verze – Zodpovědné osoby


Náležitosti bezpečnostní politiky IT- CO

• Příklad e-mail – Platnost od .... dále, bez dalšího upozornění • Definice: e-mail značí jakoukoliv elektronickou komunikaci uvnitř/vně organizace • Působnost: všichni interní i externí pracovníci ve všech regionech • Hrozby: e-mail je komunikace na stejné úrovni jako klasické způsoby. Může obsahovat informace, které mohou poškodit organizaci i/nebo nebezpečný kód, který může narušit počítačové systémy ev. bezpečnost informací



• Odpovědnost pracovníků: – Je povoleno posílat pouze zprávy, týkající se pracovní činnosti – Je povoleno používat pouze poštovní systémy organizace – Nesmí se posílat zprávy, obsahující rasistické, urážlivé nebo sexistické výroky – Nesmí se posílat zprávy, obsahující video soubory – Nesmí se posílat zprávy, obsahující hudební soubory – Nesmí se posílat materiály organizace, označené jako důvěrné a tajné – Souhlas s narušením soukromí v případě odesílaných zpráv...????



• Odpovědnost organizace – Poštovní schránky jsou omezeny na 250MB prostoru – Odesílané zprávy jsou omezeny na 10MB – Všechny zprávy jsou kontrolovány s ohledem na škodlivé kódy

• Standardy použité pro zpracování: ISO....


Náležitosti bezpečnostní politiky IT- JAK

Příklad • Posílání e-mailu – E-mail se považuje za oficiální pošu organizace – Zprávy musí projít kontrolou pravopisu – Přílohy nesmí být větší než 10MB – Nesmí se posílat spustitelný kód (programy, dávkové soubory apod.)


Bezpečnostní politika – životní cyklus Vytvoření/aktualizace Podpora vedení Návaznost na ostatní politiky Zapojení odpovědných jedinců

Oprava Pochopení problematických oblastí Periodická revize politik Zjištění, které politiky/předpisy nejsou praktické

Hlášení Poskytuje celkový přehled o shodě Identifikuje problémy k dalšímu vyšetření Hlášení odpovědným osobám

Rozšíření Užití existujících kanálů Nepoužívat slangu Zahrňte třetí strany

Sledování Sběr dat o shodě Zpracování dat Analýza dat


Zásady pro bezpečnou organizaci • Centralizované řízení politiky • Analyzujte jednotky, které představují vyšší riziko pro organizaci • Ve shodě se zákony a předpisy sledujte, shodu politiky se skutečností • Odměňujte správné chování a respektování politiky spíše než trestejte porušování • Testujte politiky v extrémních podmínkách • Podchyťte na organizační úrovni bezpečnostní politiku • Berte ohled na místní zvyklosti • Používejte nedvojsmyslná slova • Nastavte jasné propojení mezi IT bezpečnostní politikou a systémem řízení rizik organizace


Zásady pro bezpečnou organizaci

• Nesmí platit: – Quod licet Iovi, non licet bovi... (tedy volně: musí platit rovnost zaměstnanců před politikou... – Správně: Co je dovoleno bohovi, není dovoleno volovi... /kdo je bůh a kdo je vůl....???

!!!


Řízení rizika Klíčové komponenty analýzy rizik: Identifikujte majetek firmy Ke každé majetkové položce přiřaďte hodnotu Pro každou majetkovou položku identifikujte hrozby a zranitelnosti Stanovte riziko pro jednotlivé majetkové položky Jestliže jsou tyto kroky dokončeny, potom je možné přijmout protiopatření ke zmírnění zjištěného rizika, provést ekonomickou analýzu těchto opatření a připravit hlášení pro vedení organizace. Vedení organizace potom může: - Zmírnit/odstranit riziko zavedením protiopatření - Přijmout riziko - Vyhnout se riziku (zrušením projektu atd.) - Přenést riziko (pojistka apod.)


Organizace řízení rizik

Otázka existence firemní politiky pro danou oblast Pokud tato politika existujevytvořit RACI kartu na základě politiky a organigramu Pokud politika neexistuje-vytvořit ad hoc RACI kartu

Organizace a řízení rizik, 9/13. RACI karta R-Responsible, A-Accountable, C-Consulted, I-Informed

RACI Chart Responsibilities

MB

CIO/CSO

Com

Dept.Hd

Team Ld.

Determine Risk Management Allignment

A

R

C

C

C

I

Identify internal objectives and establish risk concept

A

C

C

C

R

I

Identify events associated with objectives

A

C

R

Assess risk associated with events

R

C

IA

Roles

Spec

Evaluate and select risk responses

I

I

A

R

CI

Prioritise and plan control activities

A

C

R

I

I

Action and ensure funding for risk action plan

A

C

R

I

IC

Maintain and monitor risk action plan

A

R

I

C


Obdoby RACI RACI-VS/VARISC Rozšířená verze RACI karty e dvěma novými rolemi: Verifies – Osoba, která kontroluje, zda produkt splňuje kriteria pro přijetí, tak jak byla stanovena při popisu produktu Signs off – Osoba, která ověřuje rozhodnutí V a autorizuje předání produktu. Obvykle je výhodné, aby tato osoba byla součástí A pro své následníky CAIRO/RACIO Rozšířená verze RACI karty, která navíc přidává atribut O Out of the Loop, or omitted – určuje osoby/oddělení, kterých se záležitost netýká RASCI Rozděluje roli R na dvě: Responsible – Osoba, která je odpovědná za úkol, tedy za to, že je proveden tak, jak vyžaduje osoba A Support – Osoby/odd. přidělené osobě A pro splnění úkolu RACI (jiné schema) Méně rozšířená varianta-jmenuje se sice stejně, ale A v tomto případě značí Assist, tedy osobu/odd. které jsou úpřiděleny osobě R pro splnění úkolu. Má to bránit v špatném chápání termínů Responsible a Accountable.


• Dotazy

Organizace a řízení rizik

Recommend Documents