1 / 14

Proč a jak řídit informační rizika ve veřejné správě

Luděk Novák. Proč a jak řídit informační rizika ve veřejné správě. ludek.novak@anect.com. 3. dubna 2006. Obsah prezentace. Informační rizika a bezpečnost informací Základní prvky řízení rizik Potřeby řízení rizik Řízení rizik a veřejná správa

odina
Download Presentation

Proč a jak řídit informační rizika ve veřejné správě

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Luděk Novák Proč a jak řídit informační rizika ve veřejné správě ludek.novak@anect.com 3. dubna 2006

  2. Obsah prezentace • Informační rizika a bezpečnost informací • Základní prvky řízení rizik • Potřeby řízení rizik • Řízení rizik a veřejná správa Motto:Kdo chce vyřadit každé riziko, ten také zničí všechny šance.

  3. Zákon č. 365/2000 Sb., o ISVS § 5b Bezpečnost informačních systémů veřejné správy • Orgány veřejné správy zajišťují bezpečnost informačních systémů veřejné správy v rozsahu daném prováděcím právním předpisem. Prováděcí právní předpis dále stanoví minimální bezpečnostní požadavky k zajištění důvěrnosti, integrity a dostupnosti zpracovávaných informací. • Orgány veřejné správy odpovídají za výběr a zavedení přiměřených bezpečnostních opatření odpovídajících minimálním bezpečnostním požadavkům.

  4. Pravidla řízení bezpečnosti • ČSN ISO/IEC 27001:2006 – Systém řízení bezpečnosti informací – Požadavky • mezinárodní podoba známé normy BS 7799-2, • definuje postup řízení bezpečnosti a způsob výběru bezpečnostních opatření, • Návrh systému řízení se opírá především o analýzu a zvládání informačních rizik. • ČSN ISO/IEC 17799:2006 – Soubor postupů pro řízení bezpečnosti informací • katalog 133 bezpečnostních opatření s doporučením pro realizaci.

  5. Základní prvky řízení rizik • Analýza informačních rizik • určení hodnoty chráněných aktiv • identifikování možných hrozeb a jejich dopadů • určení účinnosti existujících opatření • Zvládání informačních rizik • určení nezbytnosti a způsobu snižování míry rizika • výběr vhodných bezpečnostních opatření • Kvalita analýzy a zvládání rizik rozhoduje o účinnosti a efektivnosti řízení bezpečnosti informací.

  6. Klasické metody řízení • Mají zdůrazněnu analytickou povahu • snaha o vysokou přesnost analytických výsledků. • Vysoká časová náročnost provedení analýzy • analýzy prováděny s omezenou periodou (1 až 3 roky). • Složité a nečitelné vnitřní vazby • omezené schopnosti dále s riziky pracovat, • omezené možnosti reagovat na provozní zkušenosti. • Metody nejsou určeny pro každodenní řízení rizik • hlavním cílem metod jsou převážně jednorázové analýzy, • omezená integrace externích informačních zdrojů.

  7. Co dnes potřebujeme? • Každodenní řízení rizik • úroveň rizika by měla být určena rychle, • riziko by mělo být včas předáno a správně zvládáno, • sledování rizika během jeho zvládání, • úzké propojení (splynutí) s řízením bezpečnosti • Zapojení širokého spektra informačních zdrojů • již existující znalosti o rizicích, • informace získávané během kontroly bezpečnosti, • metody sebehodnocení, • podměty uživatelů apod. • Přehled a evidenci informačních rizik.

  8. Jednoduchá metoda řízení rizik • Doporučení BITS pro hodnocení rizik • Riziko = Dopady * Hrozba * Zranitelnost • Stupnice pro hodnocení aktiv ICT • Stupnice pro hodnocení rizik • vyjádření výše možných dopadů, • vyjádření pravděpodobnosti hrozby, • vyjádření pravděpodobnost zranitelnosti. • Organizace si musí ujasnit • pravidla a postupy pro zvládání rizik (priority pro výběr opatření), • pravidla a postupy pro akceptování zbytkových rizik.

  9. Struktura pro řízení rizik • Základem je efektivní propojení řízení rizik s konkrétním prostředím informačních a komunikačních systémů • jednoznačné rozdělení prostředí ICT, • jasné určení odpovědností, • definování role manažera rizik, • způsoby komunikace manažera rizik, • pravidla pro eskalaci rizik.

  10. Využít různých informačních zdrojů • Využití již provedených analýz rizik. • Využití výsledků řešení bezpečnostních incidentů. • Využití výsledků bezpečnostních testů. • Využití zpráv z auditu bezpečnosti a provozu. • Využití podnětů pro zlepšení bezpečnosti a provozu. • Využití sebehodnocení rizik. • Využití výsledků nově provedených analýz rizik.

  11. Řízení rizik a veřejná správa • Decentralizovaná struktura řízení VS • zahrnuje informatiku i informační rizika, • není možné účinně centralizovat, • potřeba prohlubovat vztahy důvěry. • Bezpečná výměna dat • základem je sladění představ o úrovni přijatelných rizik, • potřeba použití obdobných principů řízení rizik, • potřeba použití shodných stupnic pro vyjádření rizik, • nalezení společného jazyka je nejjednodušším řešením.

  12. Fungování registru rizik Stupnice pro ohodnocení rizik Stupnice dopadů Stupnice hrozeb Stupnice zranitelnosti Analýzy rizik Přidělení rizik Bezpečnostní incidenty Eskalace rizik Registr rizik ICT Bezpečnostní testy Výběr opatření Bezpečnostní audity Akceptování rizik Sebehodnocení bezpečnosti Zbytková rizika Další podněty

  13. Závěr • Řízení rizik je základem ekonomicky smysluplné bezpečnosti informací. • Potřeba aplikovaní vhodných metod řízení rizik při řízení každodenních aktivit. • Využití širokého spektra informačních zdrojů zpřesňuje a snižuje náročnost řízení rizik. • Pro veřejnou správu je důležité upřesnit společný jazyk – umožní otevřenou komunikaci o rizicích.

More Related