1 / 32

Téma 23 Sebahodnotenie informačnej bezpečnosti

Téma 23 Sebahodnotenie informačnej bezpečnosti. Bc. Vladimír Martinka FIIT STU. 29.4.2011. Obsah prezentácie. Hodnotenie bezpečnosti Prehľad nástrojov a metodík Prípadová štúdia. Hodnotenie bezpečnosti. Zistenie aktuálneho stavu: Zraniteľností Rizík Bezpečnostných opatrení.

elle
Download Presentation

Téma 23 Sebahodnotenie informačnej bezpečnosti

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Téma 23Sebahodnotenie informačnej bezpečnosti Bc. Vladimír Martinka FIIT STU 29.4.2011

  2. Obsah prezentácie • Hodnotenie bezpečnosti • Prehľad nástrojov a metodík • Prípadová štúdia

  3. Hodnotenie bezpečnosti Zistenie aktuálneho stavu: • Zraniteľností • Rizík • Bezpečnostných opatrení

  4. Externá kontrola / audit • Certifikovaná externá spoločnosť • Zákon / certifikát • Kvalifikovaný personál

  5. Interná kontrola / sebahodnotenie • Vykonávaný internými zamestnancami • Lacnejší a rýchlejší • Kvalifikácia / Vzdelávanie

  6. Priebeh hodnotenia • Plán • Vykonanie • Vyhodnotenie • Prezentácia

  7. Plán • Rozsah kontroly • Kontrolované oblasti • Výber a úprava procedúr • Získanie súhlasu

  8. Vykonanie • Dotazníky • Interview • Nástroje • Osobná kontrola

  9. Vyhodnotenie • Interpretácia výsledkov • Identifikácia nedostatkov • Návrh opatrení

  10. Prezentácia • Hodnotenie je pomôcka pre rozhodovanie • Prezentácia manažmentu • Vyvodenie dôsledkov • Podklad pre rozpočet

  11. Nástroje a metodiky • COBIT • ASSET • PCI DSS • MSAT

  12. COBIT • Framework pre manažment IT • ISACA 1996 - * • Pokrýva celý proces riadenia IT (vrátane hodnotenia)

  13. ASSET • Nástroj pre sebahodnotenie • Založený na NIST SP-800-26 • NIST 2000-2004 • Nahradený NIST SP-800-53 / 53A

  14. PCI DSS • Štandard pre bezpečnosť platobných kariet • Fórum PCI SSC (MasterCard, Visa,...) • Zabezpečenie kritických dát pri manipulácii s platobnými kartami

  15. MSAT • Nástroj na hodnotenie bezpečnosti od Microsoftu • Sada 200+ otázok • BRP a DiDI • Porovnanie rizikovosti - bezpečnosti

  16. Prípadová štúdiaSebahodnotenie bezpečnosti v projekte APPOP pomocou nástroja MSAT

  17. APPOP • Informačný systém pre výučbu • Online, webový prístup • Vytváranie a vypracúvanie testov • Odovzdávanie a kontrola zadaní • Prístup k študijným materiálom

  18. Business risk profile • 1 server, prenajatý od FIIT STU • 6 zamestnancov • Vývoj on-line z domu • Spracúvanie citlivých dát • Stabilné prostredie bez konkurencie

  19. Infraštruktúra • Sieťová ochrana • Autentifikácia • Manažment a monitoring

  20. Aplikácie • Nasadenie a používanie • Vývoj aplikácií • Úložiská dát a komunikácia

  21. Riadenie • Prostredie • Bezpečnostná politika • Riadenie zmien aplikácií • Záloha a obnova

  22. Personálna politika • Požiadavky a hodnotenie • Politika a procedúry • Tréning a povedomie

  23. Vyhodnotenie

  24. Porovnanie s IT services

  25. Porovnanie s „other“

  26. Dôsledky • Prenajímanie hardvéru je nežiadúce • Je nutné lepšie zabezpečenie UAC – najmä admin účtov • Je nutné definovať politiku pre údržbu

  27. Dôsledky (pokr.) • Je nutné definovať politiku pre zálohovanie • Nutné riešenie situácie v personálnej oblasti • Pravidelné vykonávanie interných auditov

  28. Zhodnotenie • Odhalenie skrytých nedostatkov • Dobrý prehľad o stave bezpečnosti • Vzdelávanie zamestnancov • Ohraničenia nástrojov a metodík • Externý audit

  29. Ďakujem za pozornosť

More Related