PV017 Bezpecnost IT

M�e�ren�� v ISMS

PV017 �Bezpe�cnost IT

Jan Staudek

http://www.�.muni.cz/usr/staudek/vyuka/

} w�� Æ�� !"#$%&'()+,-./012345<yA|Verze : podzim 2019

M�e�ren�� informa�cn�� bezpe�cnosti

2 Organizace mus�� m��t mo�znost hodnotit v �ykonnost

informa�cn�e-bezpe�cnostn��ch opat�ren�� a efektivnosti ISMS

X Pot�rebuje k tomu mechanismy pro m�e�ren�� efektivnostiimplementace bezpe�cnostn��ch opat�ren��

X M�e�ren��m se z��sk �avaj�� data podporuj��c��

{ p�rid�elen�� investic do InSec,

{ hodnocen�� u�cinnosti opat�ren�� a

{ pro identi�kaci mo�znost�� jak zv �y�sit jejich �u�cinnost

2 Standard m�e�ren�� informa�cn�� bezpe�cnosti

X ISO/IEC 27004: 2009, Information technology | Security techniques

| Information security management | Measurement

Jan Staudek, FI MU Brno | PV017 { Metriky, m�e�ren�� v �zivotn��m cyklu ISMS 1

M�e�ren�� informa�cn�� bezpe�cnosti

2 Co a kdy se m�e�r�� a co je c��lem m�e�ren�� ur�cuje politika ISMS

2 Procesy souvisej��c�� s m�e�ren��m jsou za�cle �nov �any

do cyklu PDCA n �asledovn�e


Pro�c se m�e�r�� ?

2 C��lem m�e�ren�� je z��sk �an�� informac�� pro

posouzen�� a p�r��padn �e zv �y�sen�� efektivnosti ISMS

X ISO 27001 na�rizuje prov �ad�et m�e�ren��pro demonstraci toho jak dob�re ISMS pracuje

2 Zvy�sov �an��m efektivnosti ISMS se rozum�� zlep�sov �an��

v �ykonnosti n �astroj �u informa�cn�� bezpe�cnosti

z pohledu celkov �ych podnikatelsk �ych rizik organizace

2 M�e�ren�� dod �av �a managementu vstupy pro p�rezkoum�av �an��

ISMS pro usnadn�en�� rozhodov �an�� souvisej��c��ch s ISMS

2 M�e�ren��m se z��sk �avaj�� d �ukazy pro zlep�sen�� implementace ISMS

2 Pro z��sk �an�� d �ukaz �u mus�� b �yt stanoven �e

m��ry, metody m�e�ren�� a postupy vyhodnocov �an�� z��skan �ych dat


Trochu terminologie m�e�ren��

2 Preciznost, dokonalost m�e�ren��

X je d �ana t��m, jak se li�s�� v �ysledky opakovan �ych m�e�ren�� stejn �e vlastnosti

X T�esnost shody mezi indikacemi nebo nam�e�ren �ymi hodnotami veli�cinyz��skan �ymi opakovan �ymi m�e�ren��mi na stejn �em objektu nebona podobn �ych objektech za speci�kovan �ych podm��nek

2 Opakovatelnost m�e�ren��

X opakovan �ym m�e�ren��m stejn �eho objektu pou�zit��mstejn �e metody m�e�ren��, stejn �eho m�e�ric��ho syst �emu ave stejn �ych provozn��ch podm��nk �ach se z��sk �avaj�� precizn�� v �ysledky

2 Reprodukovatelnost m�e�ren��

X Precizn�� v �ysledky se jsou z��skateln �e m�e�ren��mi proveden �ymina r �uzn �ych objektech stejn �eho typu, r �uzn �ymi m�e�r��c��mi syst �emy,p�r��p. v odli�sn �ych provozn��ch podm��nk �ach . . .


Kroky n �avrhu a pou�zit�� metrik

1. V �yb�er objekt �u, pro kter �e se navrhuj�� metriky

2. Inici �aln�� interview se zainteresovan �ymi stranami

3. N �avrh prvn�� verze metrik

4. N �asledn �e interview se zainteresovan �ymi stranami

5. De�nice metrik, metod m�e�ren��, indik �ator �u, krit �eri��, . . .

6. M�e�ren�� pomoc�� navr�zen �ych metrik

7. Agregace z��skan �ych dat a vytvo�ren�� zpr �avy o m�e�ren��

2 Data z��skan �a m�e�ren��m mus�� b �yt

de�novan �a,

analyzovan �a a

sd�elen �a odpov�edn �ym rol��m formou v �ysledn �e anal �yzy ve

vhodn �em, n �azorn �em form�atu (grafy, texty, . . . )


Co se m�e�r��

2 M�e�ren �ym objektem m�u�ze b �yt

implementovan �y proces ISMS,

procedura, opat�ren��, . . .

objekt, kter �y n�ejakou formou souvis�� s prosazov �an��m ITSec

2 M�e�ren �y objekt m�a jednu nebo v��ce vlastnost��

2 Vlastnost { charakteristika rozli�siteln �a

kvalitativn�e nebo kvantitativn�e,

manu �aln�e nebo automatick �ymi n �astroji

2 M�e�r�� se vlastnosti relevantn�� pro posouzen�� p�r��nosu objektu

pro dosa�zen�� po�zadovan �e �urovn�e informa�cn�� bezpe�cnosti


M�e�ren��, metriky, metody, modely, v �ysledek m�e�ren��

2 M�e�ren��m objektu (procesu ISMS, procedury, opat�ren��, . . . )

se rozum�� proces z��sk �an�� informac�� o objektu

2 M�e�ren�� prob��h �a podle jist �e metody m�e�ren��,

z��sk �avaj�� se z �akladn�� metriky

2 Ze z �akladn��ch metrik se p�r��padn�e se pomoc��

ur�cen �e m�e�r��c�� funkce z��sk �avaj�� odvozen �e metriky

2 Ze z �akladn��ch a/nebo odvozen �ych metrik se pomoc��

relevantn��ho analytick �eho modelu odvozuj�� indik �atory

spln�en�� / nespln�en�� po�zadovan �ych c��l �u pou�zit�� objektu

(procesu ISMS, procedury, opat�ren��, . . . )

2 Z indik �ator �u se pomoc�� de�novan �ych rozhodovac��ch krit �eri��

odvozuje stru�cn �y a jednozna�cn �y v �ysledek m�e�ren��


Metriky

2 Metrika { prom�enn �a obsahuj��c�� informaci z��skanou m�e�ren��m

2 Metriky nemus�� nutn�e b �yt objektivn��, hmatateln �e, konkr �etn��

X mohou b �yt i subjektivn��, neur�cit �e,

X nap�r. v �ysledky interview, audit �u,hodnocen�� dopad �u bezpe�cnostn��ch �skolen�� { r �ust bezp. v�edom��

2 Metriky nemus�� nutn�e m��t diskr �etn�� hodnoty

X lze pou�z��t vyhodnocov �an�� toho co a jak lid �e �r��kaj��

2 Syst �em z��sk �av �an�� metrik nemus�� b �yt n �akladn �y,

lze vyu�z��t existuj��c�� zdroje typu

X statistiky z Help deskX sledov �an�� reakc�� z �akazn��k �u

X sledov �an�� frekvenc�� re�sen�� bezp. probl �em�u managementem, . . .


Metriky

2 Metrika mus�� b �yt SMART

Speci�c, Measurable, Actionable, Relevant, Timely

p�resn�e stanoven �a, m�e�riteln �a, pou�ziteln �a, relevantn��, aktu �aln��

2 Pou�zij pravidlo 80/20

X zam�e�r se na t�ech 20% z mo�zn �ych metrik, kter �e odpov�� na 80 % ot �azek

2 Identi�kovan �e metriky mus�� b �yt snadno m�e�riteln �e,

nejl �epe automatizovan�e

2 Rozm�ery, m��ry, nemus�� nutn�e b �yt absolutn��

X v �aha se m�e�r�� na kp, d �elka na mX hodnota v �ysledku m�e�ren�� bezpe�cnostn�� vlastnosti m�u�ze b �yt

vyjad�rovan �a indexem ve �sk �ale, pou�zit �a �sk �ala m�u�ze b �yt subjektivn��


Metriky

2 P�r��li�s �cast �e m�e�ren�� m�u�ze b �yt nam�ahav �e a drah �e,

n��zk �a frekvence m�e�ren�� m�u�ze poskytovat irelevantn�� data

2 Nam�e�ren �e hodnoty se vesm�es vyjad�ruj�� pomoc��

vhodn �ych stupnic

X Stupnice {

uspo�r �adan �a mno�zina spojit �ych (metrick �ych) nebodiskr �etn��ch hodnot vlastnost�� m�e�ren �eho objektu nebo

mno�zina kategori��,do kter �ych se zobrazuj�� vlastnosti m�e�ren �eho objektu

X Typ stupnice je dan �y vztahem mezi hodnotami ve stupnici

X Vyj �ad�ren�� metriky numericky �ci procentem redukuje subjektivnostmetriky maj�� b �yt objektivn��


�Sk �ala, stupnice (scale)

2 Nomin �aln�� stupnice { nemetrick �a stupnice

kvalitativn�� stupnice o jej��z dvou hodnot �ach m�u�zeme

pouze �r��ci, zda jsou stejn �e �ci r �uzn �e.

Hodnotami nomin �aln�� stupnice mohou b �yt

texty �ci �c��seln �e k �ody,

lze u nich zji�st'ovat jen rozd�elen�� cetnost��,

nem�u�zeme s nimi prov �ad�et aritmetick �e operace

(s�c��tat apod.)

Sest �av �a ze dvou �ci v��ce vz �ajemn�e se vylu�cuj��c��ch

kategori�� (t�r��d).

P�r.: Hrozby: podvod, ztrata duvernosti, zneprıstupnenı, . . .



2 Ordin �aln�� (po�radnicov �a) stupnice { nemetrick �a stupnice

kvalitativn�� stupnice u jej��z dvou hodnot �ach m�u�zeme

nav��c ur�cit po�rad��,

p�ri�cem�z �useky mezi jednotliv �ymi hodnotami nemus�� b �yt

stejn �e (stejn�e v �yznamn �e)

kategorie lze mezi sebou porovn �avat a ur�cit jejich po�rad��,

ale nem�a smysl prov �ad�et s nimi aritmetick �e operace, nap�r.

ur�covat jejich rozd��l

P�r.: Riziko: zanedbatelne, bezne, katastroficke, . . .



2 Intervalov �a stupnice { metrick �a stupnice

kvantitativn�� stupnice pro jej��z dv�e hodnoty m�u�zeme nav��c

(k mo�znostem ordin �aln��) vypo�c��tat, o kolik je jedna

hodnota v�et�s�� (resp. men�s��) ne�z druh �a,

Nulov �a pozice na stupnici je v�ec�� volby.

M�e�ren �e �useky na stupnici jsou stejn�e velk �e,

lze ur�cit velikost rozd��lu mezi libovoln �ymi dv�ema

hodnotami znaku, ale nem�a v �yznam ur�covat jejich pod��l

Stejn �e rozd��ly mezi numerick �ymi hodnotami odpov��daj��

stejn �ym rozd��l �um mezi m�e�ren �ymi vlastnostmi

M�e�r��me nap�r. ka�zd �y m�es��c velikost dostupn �e kapacity

vn�ej�s�� pam�eti



2 Pom�erov �a, racion �aln�� stupnice { metrick �a stupnice

kvantitativn�� stupnice pro jej��z dv�e hodnoty m�u�zeme nav��c

(k mo�znostem intervalov �e) vypo�c��tat, kolikr �at je jedna

hodnota v�et�s�� (resp. men�s��) ne�z druh �a,

obsahuje pouze o kladn �e hodnoty.

Nulov �a pozice na pom�erov �e stupnici je d �ana pevn�e a

vyjad�ruje naprostou nep�r��tomnost m�e�ren �e vlastnosti.

N�eco se d�eje 2x �cast�eji ne�z n�eco jin �eho.


Pragmatick �e �uvahy o n �avrhu m�e�ren�� bezpe�cnosti

2 Co m�e�rit ?

X jen to, co chceme opakovan�e, systematicky, rutinn�e vyhodnocovat

X sb��r �ame jen ta data, kter �a budeme analyzovat

X d�el �ame jen ty anal �yzy, jejich�z v �ysledky prakticky vyu�zijeme

2 Jak m�e�rit ?

X Mus��me de�novat kdo d�el �a kter �a m�e�ren�� a jak a co jsou v �ysledky

X Mus��me v�ed�et jak bezpe�cn�e uchov �avat v �ysledky m�e�ren��

X Za�c��n �ame s minim �aln��m rozsahem m�e�ren�� a m�e�ren�� roz�si�rujemea�z kdy�z se uk �a�ze nutnost m�e�ren�� roz�s��rit, metoda KISS(Keep It Simple and Stupid)

2 Jak dokumentovat, jak prezentovat v �ysledky m�e�ren�� ?

X viz syst �em zpr �av v n �asleduj��c��m v �ykladu

X mus��me de�novat jak implementovat zpravodajsk �y syst �em


Prezentace v �ysledk �u m�e�ren��

Syst �em zpr �av m�a p�redpisovat bezpe�cnostn�� politika ISMS, nap�r.

2 v �yro�cn�� velmi d �uv�ern �a hodnot��c�� zpr �ava pro

CEO (Chief Executive Officer) a p�redstavenstvo

2 �ctvrtletn�� d �uv�ern �y report pro vy�s�s�� management organizace

odpov�edn �y stav bezpe�cnosti

X ob�e zpr �avy typicky pod �av �a bezpe�cnostn�� architektvych �az�� typicky z m�es��cn��ch report �u { viz n��ze

2 m�es��cn�� reporty pro

CTO (Chief Technology Officer ) /CIO (Chief Information Officer) /CISO (Chief Information Security Officer)

X zpr �avy pod �avaj�� role odpov�edn �e za v �ykon/�r��zen�� bezpe�cnosti


Model m�e�ren�� informa�cn�� bezpe�cnosti


Kroky p�ri konstrukci v �ysledku m�e�ren��


Z �akladn�� metriky a metody m�e�ren��

2 Z �akladn�� metrika je dan �a

metodou m�e�ren�� a m�e�renou vlastnost�� objektu m�e�ren��

2 Metoda m�e�ren��

X Genericky popsan �y logick �y sled operac�� prokvanti�kaci vlastnost�� m�e�ren �eho objektuv dan �e �sk �ale hodnot

X Typ metody m�e�ren�� z �avis�� na povaze operac��pou�zit �ych pro kvanti�kaci vlastnost��:

- Subjektivn��: kvanti�kace zahrnuj��c�� lidsk �y �usudek

- Objektivn��: kvanti�kace na z �aklad�e numerick �ych pravidel

X Operac�� m�u�ze b �yt �c��t �an�� v �yskyt �u, sledov �an�� b�ehu �casu,audit, interview, . . .


P�r��klad z �akladn�� metriky, metody m�e�ren��, . . .

X C��lem necht' je m�e�ren�� trendu vyhov�en�� politice

Zajist’ovanı vedomı zamestnancu o informacnı bezpecnosti ,probl �emem je jak p�re- tak i poddimenzov �an�� rychlosti pro�skolov �an��

X P�redm�et (objekt) m�e�ren�� { syst �em �skolen�� v ITSec

X M�e�ren �e vlastnosti { zam�estnanci identi�kovan�� v pl �anu �skolen�� azam�estnanci, kte�r�� usp�e�sn�e absolvovali �skolen��

X Metody m�e�ren�� { �c��t �an��zam�estnanc �u v pl �anu �skolen�� azam�estnanc �u s �usp�e�sn�e slo�zenou z �av�ere�cnou zkou�skou po �skolen��

X Z �akladn�� metriky { po�cty pl �anovan �ych/ �usp�e�sn�e pro�skolen �ych osob

X Odvozenou metrikou je trend pro�skolov �an�� v pr �ub�ehu roku,z��skan �y vhodnou m�e�r��c�� funkc�� ze z �akladn��ch metrik

X Pro odvozen�� indikace problematick �eho trendu se pou�zije{ vhodn �y analytick �y model,{ z �akladn�� a odvozen �e metriky a{ adekv �atn�� rozhodovac�� krit �eria


Vybran �e p�r��klady p�redm�et �u (objekt �u) m�e�ren��

2 V �ykonnost opat�ren�� implementovan �ych v ISMS

2 Stav informa�cn��ch aktiv chr �an�en �ych opat�ren��mi

2 V �ykon proces �u implementovan �ych v ISMS

2 Chov �an�� person �alu podl �ehaj��c��ho implementovan �emu ISMS

2 �Cinnosti organiza�cn��ch jednotek odpov�edn �ych

za informa�cn�� bezpe�cnost

2 �Urove �n spokojenosti z �u�castn�en �ych stran

2 . . .


Zdroje informac�� o p�redm�etech m�e�ren�� a jejich vlastnost��

2 V �ysledky anal �yzy rizik a posuzov �an�� rizik

2 Dotazn��ky a interview

2 Zpr �avy intern��ch a / nebo extern��ch audit �u

2 Z �aznamy o ud �alostech, jako jsou protokoly (logy),

statistick �e �udaje a zji�st �en�� z audit �u

2 Zpr �avy o incidentech, zejm �ena ty, kter �e zp �usobily �skody

2 V �ysledky test �u, nap�r. penetra�cn��ch test �u, soci �aln��ho

in�zen �yrstv��, vyhov�en�� regula�cn��m opat�ren��m a politik �am

2 Z �aznamy z procedur a program�u souvisej��c��ch

s informa�cn�� bezpe�cnost�� organizace,

nap�r. v �ysledky �skolen�� o informa�cn�� bezpe�cnosti


Potenci �aln�� metriky bezpe�cnosti informac��, ISO/IEC 27004

2 Statistiky zm�en IT

X po�cty a trendy zm�en z d �uvod �u odhalen��katastro�ck �ych, v �yznamn �ych, b�e�zn �ych, akceptovateln �ych rizik

X po�cty a trendy n �avrat �u k p�redchoz��m �re�sen��m

X po�cty a trendy �usp�e�sn �ych vs. ne �usp�e�sn �ych zm�en

2 metriky vyzr �av �an�� IT proces �u souvisej��c��ch s bezpe�cnost��

X polo�cas aplikace bezpe�cnostn��ch z �aplat {za jak dlouho se z �aplaty um��st�� na v��ce ne�z 50% zraniteln �ych syst �em�u

2 Statistiky dopad �u �skodliv �eho software

X po�cty vir �u, Trojsk �ych ko �n �u, spamu, trendy t�echto po�ct �u



2 Statistiky odvozen �e z audit �u extern��ch auditor �u

X po�cty a trendy po�ct �u doporu�cen�� auditor �u

X krizov �a, v �a�zn �a, upozor �novac�� odhalen��, . . .

X trendy akceptov �an�� doporu�cen�� z auditu managementem

2 P�r��klad doporu�cen�� auditor �u ve �sk �ale klasi�kac�� zji�st �en �ych

nedostatk �u

X Z �ava�znost A { zji�st �en �y nedostatek je velmi z �ava�zn �y (velmi v �yznamn �y).Velmi v �yznamn�e naru�suje bezpe�cnost syst �emu. Doporu�cujeme conejrychlej�s�� (pokud mo�zno okam�zit �e) odstran�en�� nedostatku.V p�r��pad�e nov �eho syst �emu doporu�cujeme odstran�en�� nedostatkuje�st�e p�red jeho nasazen��m.

X pokra�c.



X Z �ava�znost B { zji�st �en �y nedostatek je st�redn�e z �ava�zn �y (v �yznamn �y).Ohro�zuje bezpe�cnost syst �emu, av�sak ohro�zen�� nen�� bezprost�redn�� nebonen�� velmi z �ava�zn �e. Nedostatek by m�el b �yt odstran�en p�ri nejbli�z�s��vhodn �e p�r��le�zitosti.

X Z �ava�znost C { zji�st �en �y nedostatek nen�� z �ava�zn �y, neznamen �a konkr �etn��ohro�zen�� bezpe�cnosti syst �emu, ale m�u�ze b �yt pova�zov �an za p�restupekproti bezpe�cnostn��m zvyklostem. Hodnotitel �e doporu�cuj�� odstran�en��tohoto nedostatku p�ri vhodn �e p�r��le�zitosti, nerespektov �an�� tohotodoporu�cen�� nemus�� v �est k ohro�zen�� bezpe�cnosti syst �emu.

X Z �ava�znost nen�� { zji�st �en �y nedostatek nen�� z �ava�zn �y, neznamen �akonkr �etn�� ohro�zen�� bezpe�cnosti syst �emu, ale m�u�ze b �yt pova�zov �an zap�restupek proti bezpe�cnostn��m zvyklostem. V�et�sinou se jedn �ao p�r��pady, kdy hodnotitel �e si jsou v�edomi skute�cnosti, �ze zasou�casn �eho stavu technologie nen�� k dispozici p�rijateln �e technick �e�re�sen��, kter �e by toto relevantn�e odstranilo.



2 Konkr �etn�� p�r��klady zji�st �en �ych nedostatk �u a jejich klasi�kac��

X Z �ava�znost A {

Procesy pro tisk PIN�u vy�zaduj��, aby na tiskov �em po�c��ta�ci bylo ru�cn�em�en�eno syst �emov �e datum na �ktivn�� hodnoty. Tato praxe jene�z �adouc��, je v rozporu s po�zadavky na bezpe�cn �e protokolov �an��.

Ve v �yvojov �em nebo v testovac��m prost�red�� se pou�z��vaj�� ziv �a datao z �akazn��c��ch.

X Z �ava�znost B {

K tiskov �emu PC se pracovn��ci p�rihla�suj�� jedin �ym spole�cn �ymu�zivatelsk �ym jm�enem. Jednotliv�� pracovn��ci nemaj�� individu �aln�� u�cty.

X Z �ava�znost C {

V session-ID syst �emu XXXX nen�� zabudov �ana IP adresa klienta,kter �y vytvo�ril po�zadavek (je zde tedy potenci �aln�� hrozba, zda nen��mo�zn �e un �est sezen�� na jinou IP adresu).



X Z �ava�znost nen�� {

Heslo BIOS je u v�sech po�c��ta�c �u stejn �e, m�en�� se ve v��celet �ychintervalech. Skute�cnost, �ze toto heslo je zn �amo iextern��m pracovn��k �um je bezpe�cnostn��m rizikem, av�sak za sou�casn �ehostavu technologie nen�� k dispozici p�rijateln �e technick �e �re�sen��,kter �e by toto riziko odstranilo.



2 Statistiky odvozen �e z audit �u odd�elen��m vnit�rn�� kontroly

X obvykle jsou detailn�ej�s��, pokr �yvaj�� v��ce probl �em�u organizace

X mohou b �yt ale m�en�e objektivn��

2 Statistiky Help Desk

X po�cty a typy dotaz �u, �z �adost��, upozorn�en��, kritik, . . .

X po�cty �z �adost�� o zm�enu hesla, . . .

2 Statistiky bezpe�cnostn��ch incident �u

X po�cty a trendy po�ct �u pr �unik �u, phishing �utok �u, . . .

X hodnocen�� detekc�� a efektivnost�� n �aprav



2 Statistiky z �rewall �u

X po�cty a trendy po�ct �u p�r��stup �u na zak �azan �e zdroje z organizace

X po�cty a trendy po�ct �u hackersk �ych �utok �u

2 Statistiky zranitelnost�� syst �em�u a s��t'ov �ych prost�red��

X po�cty zn �am �ych zraniteln �ych m��st

X po�cty a trendy jejich likvidac��, objevov �an��

X rychlost oprav z �aplatami od v �yrobc �u

2 . . .


P�r��klady metrik opat�ren�� na �urovni aplika�cn�� bezpe�cnosti

2 Spr �ava tajn �ych autentiza�cn��ch informac�� u�zivatel �u

X % aplikac�� s implicitn��m heslem prodejce software

X % aplikac�� s podporou politiky hesel

2 Hodnocen�� p�r��stupov �ych pr �av u�zivatel �u

X % kritick �ych aplikac�� s periodicky posuzovan �ymi p�r��stupov �ymi pr �avy

2 Omezov �an�� p�r��stupu k informac��m

X % aplikac�� s dokumetovan �ymi rolemi a opr �avn�en��mi

2 Separace v �yvojov �eho, testovac��ho, akcepta�cn��ho a provozn��ho

prost�red��

X % kritick �ych aplikac�� kter �e maj�� de�novan �a tato prost�red��


P�r��klady metrik opat�ren�� na �urovni aplika�cn�� bezpe�cnosti

2 Zaznamen �av �an�� bezpe�cnostn��ch ud �alost��

X % aplikac�� sledovan �ych v re�zimu 24x7x365

X % aplikac�� s pravideln�e prov �ad�enou anal �yzou z �aznam�u ud �alost��

2 P�rej��mac�� testov �an�� syst �emu

X % aplikac�� spl �nuj��c��ch z �akladn�� bezpe�cnostn�� standardy

X % aplikac�� s vypracovan �ym pl �anem zachov �an�� cinnosti


�U�castn��ci m�e�ren��

X M�e�ren�� poskytuje informace pro . . .management ISMS,bezpe�cnostn�� management a pro management . . . , jsou toklienti m�e�ren�� (Clients for measurement)

X Princip m�e�ren�� validuje bezpe�cnostn�� mana�zer, jehodnotitel m�e�ren�� (Reviewer for measurement)

X Vlastn��ky informac�� o m�e�ren �ych objektechjsou . . . spr �avce informa�cn�� bezpe�cnosti, mana�zer . . . , jsou tovlastn��ci informac�� (Information Owners)

X Data nutn �a pro m�e�ren�� shroma�zd'uje, zaznamen �av �a a uchov �av �a. . . IT odd�elen��, . . . , jejich zam�estnanci jsoum�e�ri�ci (Information Collectors)

X Anal �yzu a zve�rejn�en�� v �ysledk �u m�e�ren�� prov �ad�ej��mana�ze�ri odpov�edn�� za ISMS, jsouinterpret �ato�ri v �ysledk �u m�e�ren�� (Information Communicators)


P�r��klad zaveden�� m�e�ren�� (dokument)

2 N�azev m�e�ren��

X Obnova provozn��ho syst �emu ze z �alohy

2 �C��seln �a (katalogov �a) identi�kace m�e�ren��

X . . .

2 C��l m�e�ren��

X Z��skan�� d �ukaz �u potvrzuj��c��ch platnost z �aruky,�ze se ka�zd �a po�zadovan �a operace obnovy provede do 48 hodin

2 M�e�ren �y objekt (bezpe�cnostn�� opat�ren��)

X Z �alohovac�� postupy a procesy zaji�st'uj��c�� integritu a dostupnostz �alo�zn��ch kopi�� dat a software

X P�rijat �a politika z �alohov �an�� organizace zaji�st'uje pravideln �e vytv �a�ren��a testov �an�� z �alo�zn�� kopie dat a software


P�r��klad m�e�ren��, P�redm�ety m�e�ren�� a jejich vlastnosti

2 Podrobn �y v �y�cet p�redm�et �u (objekt �u) m�e�ren��

X O1: Syst �em spr �avy po�zadavk �u na obnovu ze z �alohy

X O2: datab �aze z �aznam�u z �alohovac��ho syst �emu (logy)

2 M�e�ren �a vlastnost objektu O1,

syst �emu spr �avy po�zadavk �u na obnovu ze z �alohy,

X A1: Evidence p�rij��man �ych po�zadavk �u na obnovovac�� operaci

2 M�e�ren �a vlastnost objektu O2,

datab �aze z �aznam�u z �alohovac��ho syst �emu

X A2: Evidence �casov �ych �udaj �u prov �ad�en�� operac�� obnovy


P�r��klad m�e�ren��, Z �akladn�� metriky a metody m�e�ren��

2 Z �akladn�� metriky

X B1 (m�e�ren�� A1): Po�cet po�zadavk �u na operaci obnovy

X B2.1 (m�e�ren�� A2): Doby startu a ukon�cen�� operac�� obnovy

X B2.2 (m�e�ren�� A2): Po�cet proveden �ych operac�� obnovy

2 Metody m�e�ren��

X M1 (z��sk �av �a B1): Spo�c��taj�� se po�zadavky na operaci obnovy zadan �eza posledn�� m�es��c (interval prov �ad�en�� m�e�ren��)

X M2.1(z��sk �av �a B2.1): Zaznamenaj�� se doby startu aukon�cen�� v�sech operac�� obnovy proveden �ych za posledn�� m�es��c

X M2.2 (z��sk �av �a B2.2): Spo�c��taj�� se proveden �e operace obnovyza posledn�� m�es��c


P�r��klad m�e�ren��, Z �akladn�� metriky a metody m�e�ren��

2 Typy metod m�e�ren��

X V�sechny metody m�e�ren�� jsou objektivn��

2 Stupnice, jednotky m�e�ren��, typy stupnic

X pro B1: (Po�cet po�zadavk �u na operaci obnovy)integer,nomin �aln��,

X pro B2.1: (Po�cet obnovovac��ch operac��)y-m-d-t,intervalov �a

X pro B2.2: (Po�cet proveden �ych operac�� obnovy)integer,pom�erov �a,


P�r��klad m�e�ren��, Speci�kace odvozen �ych metrik

2 Odvozen �e metriky

X D1: pom�er po�ctu operac�� obnovy proveden �ych za posledn�� m�es��ca operac�� obnovy po�zadovan �ych za posledn�� m�es��c, D1 = B2.2/B1

X D2: doby za kter �e se provedly operace obnovy proveden �eza posledn�� m�es��c

2 M�e�r��c�� funkce, Fi vypo�c��t �av �a Di

X F1: d�el�� se po�cet operac�� obnovy proveden �ych za posledn�� m�es��cpo�ctem operac�� obnovy po�zadovan �ych za posledn�� m�es��c

X F2: pro ka�zdou provedenou operaci obnovy za posledn�� m�es��cse spo�c��t �a jak dlouho trvala, (doba ukoncenı – doba startu)


P�r��klad m�e�ren��, Indik �atory a analytick �y model

2 Indik �atory

X I1: kol �a�cov �y graf vyjad�ruj��c�� pom�er proveden �ych a neproveden �ychpo�zadovan �ych operac�� obnovy

X I2: kol �a�cov �y graf vyjad�ruj��c�� pom�er operac�� obnovy,kter �e se provedly a neprovedly do 48 hodin

2 Analytick �y model, AMi generuje Ii

X AM1: Po�cet proveden �ych operac�� obnovy se vyj �ad�r�� zelenou barvou,po�cet neproveden �ych operac�� se vyj �ad�r�� cervenou barvou

X AM2: Po�cet proveden �ych operac�� obnovy do 48 hodin se vyj �ad�r��zelenou barvou, po�cet proveden �ych operac�� za del�s�� dobuse vyj �ad�r�� cervenou barvou


P�r��klad m�e�ren��, Rozhodovac�� krit �eria a v �ysledky m�e�ren��

2 Rozhodovac�� krit �eria

X DC1: Mus�� b �yt provedeny v�sechny operace obnovy

X DC2: V�sechny operace obnovy mus�� b �yt provedeny do 48 hodin

2 Interpretace indik �ator �u Ii

X I1: Pokud se neprovedlo 100 % po�zadovan �ych operac�� obnovy,mus�� se zjistit d �uvody a tyto sd�elit podle postupude�novan �eho v ISMS zpr �avou

X I2: Pokud se neprovedlo 100 % proveden �ych operac�� obnovydo 48 hodin,mus�� se zjistit d �uvody a a tyto sd�elit podle postupude�novan �eho v ISMS zpr �avou


P�r��klad m�e�ren��, �U�castn��ci m�e�ren��, harmonogram

2 Zpr �avu o v �ysledc��ch m�e�ren�� dost �av �a

X vlastn��k z �alohovan �eho syst �emu pou�z��vaj��c��ho slu�zbu z �alohov �an��(management jednotky pou�z��vaj��c�� z �alohovan �y syst �em)

X spr �avce a t �ym zaji�st'uj��c�� chod z �alohuj��c��ho syst �emu prov �ad�ej��c��hoslu�zbu z �alohov �an��

2 Hodnotitel m�e�ren��: bezpe�cnostn�� mana�zer

2 Vlastn��ci informac��: IT odd�elen��

2 M�e�ri�ci: IT odd�elen��, spr �avci z �alohovac��ho syst �emu

2 Interpret �ato�ri: mana�zer ISMS

2 Harmonogram:

X perioda m�e�ren��, anal �yzy, generov �an�� zpr �avy { m�es��c

X perioda hodnocen�� a revize m�e�ren�� { rok


P�r��klad m�e�ren��, Zpr �ava

2 zpr �ava mus�� m��t strukturu p�redepsanou pro

dokumenty v ISMS

2 N��ze jsou ilustrovan �e pouze indik �atory vypov��daj��c��

v tomto p�r��pad�e o n��zk �e kvalit �e z �alohovac��ho syst �emu


PV017 Bezpecnost IT

Documents

Transcript of PV017 Bezpecnost IT