(drive BS 17799:2005)

Oblast - norma definuje, ze informacni bezpecnost muze byt definovana pouze uvnitr prostoru ohranicene oblasti (scope).

• olasti nemusi byt cela organizace
• informace do/z oblasti vstupuje pomoci definovanych nastroju
• v oblasti se informace musi vyskutovat informace uplna a chranena
• spravu bezpecnosti v ramci oblasti definuje ISMS

ISMS - information security management system

V ramci ustanovovani ISMS (viz odstavec 4.2.1) organizace musi:

• c) definovat pristup organizace k hodnoceni rizik: metodika hodnoceni, kriteria akceptovatelnosti
• d) identifikovat rizika: aktiva, hrozby, zranitelnosti, dopady
• e) analyzovat a vyhodnocovat rizika:
  • ohodnoceni dopadu,
  • realne pravdepodobnosti,
  • uroven rizik,
  • urcit zda jsou rizika akceptovatelna
• f) identifikovat a vyhodnodtit varianty pro zvladani rizik:
  • aplikace vhodnych opetreni
  • akceptovani rizika
  • vyhnuti se riziku
  • preneseni rizika
• g) vybrat a implementovat vhodna opetreni
• h) ziskat souhlas vedeni se zbytkovym rizikem

V ramci zavadeni a provozovani ISMS:

• Formulovat plán zvládání rizik, který vymezí odpovídající cinnosti vedeni, zdroje, odpovednosti a priority pro rizeni rizik bezpecnosti informaci
• zavest plan zvladani rizik
• zavest vybrana bezpecnostni opatreni
• definovat zpusob vyhodnocovani ucinnosti techto opatreni a zpusob pouziti techto vystupu

Risk magement - proces identifikace, rizeni a zmirnovani rizik

• risk assesment
• risk mitigation

Riziko (risk):

• prirozene (natural)
• zbytkove (residual) - riziko, ktere zustava po prijeti opetreni
• opatreni: zmirneni dopadu, odstraneni vad, pridani cilenych kontrol

Kvantitatnvni / Kvalitativni pristup

Bezpecnost:

• integrity
• availability
• confidentiality
• accountability
• assurance

Vyhodnoceni rizik - Risk Assesment:

• vstupem system
• vystupem definovana oblast, rizika, navrhy na zmirneni rizik

Rozpada se do nekolika fazi:

• system characterization - vymezeni a zdokumentovani oblasti

• threat identification - identifikace hrozeb
  • zdroj rizika - clovek, priroda (kratkodobe a dlouhodobe)
  • motivace - (ne)zamernost
  • zdroj x motivace → ohrozujici akce

• vulnerability identification
  • zranitelnost x zdroj → ohrozujici akce
  • zranitelnost -

• control analysis

• likelihood determination
  • pravdepodobnost
  • kvantizace Low - Medium - High

• impact analysis - analyza dopadu
  • kvantizace Low - Medium - High

• risk determination
  • kvantizace Low - Medium - High

• control recomendations - doporuceni dodatecnych opatreni

• results documentation - dokumentace vysledku analyzy rizik

Materialy: * Risk Management guide for Information Technology Systems (lokalni kopie)