pv017 bezpecnost it
Post on 29-Nov-2021
3 Views
Preview:
TRANSCRIPT
M�e�ren�� v ISMS
PV017 �Bezpe�cnost IT
Jan Staudek
http://www.�.muni.cz/usr/staudek/vyuka/
} w���������� ������������ !"#$%&'()+,-./012345<yA|Verze : podzim 2019
M�e�ren�� informa�cn�� bezpe�cnosti
2 Organizace mus�� m��t mo�znost hodnotit v �ykonnost
informa�cn�e-bezpe�cnostn��ch opat�ren�� a efektivnosti ISMS
X Pot�rebuje k tomu mechanismy pro m�e�ren�� efektivnostiimplementace bezpe�cnostn��ch opat�ren��
X M�e�ren��m se z��sk �avaj�� data podporuj��c��
{ p�rid�elen�� investic do InSec,
{ hodnocen�� �u�cinnosti opat�ren�� a
{ pro identi�kaci mo�znost�� jak zv �y�sit jejich �u�cinnost
2 Standard m�e�ren�� informa�cn�� bezpe�cnosti
X ISO/IEC 27004: 2009, Information technology | Security techniques
| Information security management | Measurement
Jan Staudek, FI MU Brno | PV017 { Metriky, m�e�ren�� v �zivotn��m cyklu ISMS 1
M�e�ren�� informa�cn�� bezpe�cnosti
2 Co a kdy se m�e�r�� a co je c��lem m�e�ren�� ur�cuje politika ISMS
2 Procesy souvisej��c�� s m�e�ren��m jsou za�cle �nov �any
do cyklu PDCA n �asledovn�e
Jan Staudek, FI MU Brno | PV017 { Metriky, m�e�ren�� v �zivotn��m cyklu ISMS 2
Pro�c se m�e�r�� ?
2 C��lem m�e�ren�� je z��sk �an�� informac�� pro
posouzen�� a p�r��padn �e zv �y�sen�� efektivnosti ISMS
X ISO 27001 na�rizuje prov �ad�et m�e�ren��pro demonstraci toho jak dob�re ISMS pracuje
2 Zvy�sov �an��m efektivnosti ISMS se rozum�� zlep�sov �an��
v �ykonnosti n �astroj �u informa�cn�� bezpe�cnosti
z pohledu celkov �ych podnikatelsk �ych rizik organizace
2 M�e�ren�� dod �av �a managementu vstupy pro p�rezkoum�av �an��
ISMS pro usnadn�en�� rozhodov �an�� souvisej��c��ch s ISMS
2 M�e�ren��m se z��sk �avaj�� d �ukazy pro zlep�sen�� implementace ISMS
2 Pro z��sk �an�� d �ukaz �u mus�� b �yt stanoven �e
m��ry, metody m�e�ren�� a postupy vyhodnocov �an�� z��skan �ych dat
Jan Staudek, FI MU Brno | PV017 { Metriky, m�e�ren�� v �zivotn��m cyklu ISMS 3
Trochu terminologie m�e�ren��
2 Preciznost, dokonalost m�e�ren��
X je d �ana t��m, jak se li�s�� v �ysledky opakovan �ych m�e�ren�� stejn �e vlastnosti
X T�esnost shody mezi indikacemi nebo nam�e�ren �ymi hodnotami veli�cinyz��skan �ymi opakovan �ymi m�e�ren��mi na stejn �em objektu nebona podobn �ych objektech za speci�kovan �ych podm��nek
2 Opakovatelnost m�e�ren��
X opakovan �ym m�e�ren��m stejn �eho objektu pou�zit��mstejn �e metody m�e�ren��, stejn �eho m�e�ric��ho syst �emu ave stejn �ych provozn��ch podm��nk �ach se z��sk �avaj�� precizn�� v �ysledky
2 Reprodukovatelnost m�e�ren��
X Precizn�� v �ysledky se jsou z��skateln �e m�e�ren��mi proveden �ymina r �uzn �ych objektech stejn �eho typu, r �uzn �ymi m�e�r��c��mi syst �emy,p�r��p. v odli�sn �ych provozn��ch podm��nk �ach . . .
Jan Staudek, FI MU Brno | PV017 { Metriky, m�e�ren�� v �zivotn��m cyklu ISMS 4
Kroky n �avrhu a pou�zit�� metrik
1. V �yb�er objekt �u, pro kter �e se navrhuj�� metriky
2. Inici �aln�� interview se zainteresovan �ymi stranami
3. N �avrh prvn�� verze metrik
4. N �asledn �e interview se zainteresovan �ymi stranami
5. De�nice metrik, metod m�e�ren��, indik �ator �u, krit �eri��, . . .
6. M�e�ren�� pomoc�� navr�zen �ych metrik
7. Agregace z��skan �ych dat a vytvo�ren�� zpr �avy o m�e�ren��
2 Data z��skan �a m�e�ren��m mus�� b �yt
de�novan �a,
analyzovan �a a
sd�elen �a odpov�edn �ym rol��m formou v �ysledn �e anal �yzy ve
vhodn �em, n �azorn �em form�atu (grafy, texty, . . . )
Jan Staudek, FI MU Brno | PV017 { Metriky, m�e�ren�� v �zivotn��m cyklu ISMS 5
Co se m�e�r��
2 M�e�ren �ym objektem m�u�ze b �yt
implementovan �y proces ISMS,
procedura, opat�ren��, . . .
objekt, kter �y n�ejakou formou souvis�� s prosazov �an��m ITSec
2 M�e�ren �y objekt m�a jednu nebo v��ce vlastnost��
2 Vlastnost { charakteristika rozli�siteln �a
kvalitativn�e nebo kvantitativn�e,
manu �aln�e nebo automatick �ymi n �astroji
2 M�e�r�� se vlastnosti relevantn�� pro posouzen�� p�r��nosu objektu
pro dosa�zen�� po�zadovan �e �urovn�e informa�cn�� bezpe�cnosti
Jan Staudek, FI MU Brno | PV017 { Metriky, m�e�ren�� v �zivotn��m cyklu ISMS 6
M�e�ren��, metriky, metody, modely, v �ysledek m�e�ren��
2 M�e�ren��m objektu (procesu ISMS, procedury, opat�ren��, . . . )
se rozum�� proces z��sk �an�� informac�� o objektu
2 M�e�ren�� prob��h �a podle jist �e metody m�e�ren��,
z��sk �avaj�� se z �akladn�� metriky
2 Ze z �akladn��ch metrik se p�r��padn�e se pomoc��
ur�cen �e m�e�r��c�� funkce z��sk �avaj�� odvozen �e metriky
2 Ze z �akladn��ch a/nebo odvozen �ych metrik se pomoc��
relevantn��ho analytick �eho modelu odvozuj�� indik �atory
spln�en�� / nespln�en�� po�zadovan �ych c��l �u pou�zit�� objektu
(procesu ISMS, procedury, opat�ren��, . . . )
2 Z indik �ator �u se pomoc�� de�novan �ych rozhodovac��ch krit �eri��
odvozuje stru�cn �y a jednozna�cn �y v �ysledek m�e�ren��
Jan Staudek, FI MU Brno | PV017 { Metriky, m�e�ren�� v �zivotn��m cyklu ISMS 7
Metriky
2 Metrika { prom�enn �a obsahuj��c�� informaci z��skanou m�e�ren��m
2 Metriky nemus�� nutn�e b �yt objektivn��, hmatateln �e, konkr �etn��
X mohou b �yt i subjektivn��, neur�cit �e,
X nap�r. v �ysledky interview, audit �u,hodnocen�� dopad �u bezpe�cnostn��ch �skolen�� { r �ust bezp. v�edom��
2 Metriky nemus�� nutn�e m��t diskr �etn�� hodnoty
X lze pou�z��t vyhodnocov �an�� toho co a jak lid �e �r��kaj��
2 Syst �em z��sk �av �an�� metrik nemus�� b �yt n �akladn �y,
lze vyu�z��t existuj��c�� zdroje typu
X statistiky z Help deskX sledov �an�� reakc�� z �akazn��k �u
X sledov �an�� frekvenc�� �re�sen�� bezp. probl �em�u managementem, . . .
Jan Staudek, FI MU Brno | PV017 { Metriky, m�e�ren�� v �zivotn��m cyklu ISMS 8
Metriky
2 Metrika mus�� b �yt SMART
Speci�c, Measurable, Actionable, Relevant, Timely
p�resn�e stanoven �a, m�e�riteln �a, pou�ziteln �a, relevantn��, aktu �aln��
2 Pou�zij pravidlo 80/20
X zam�e�r se na t�ech 20% z mo�zn �ych metrik, kter �e odpov�� na 80 % ot �azek
2 Identi�kovan �e metriky mus�� b �yt snadno m�e�riteln �e,
nejl �epe automatizovan�e
2 Rozm�ery, m��ry, nemus�� nutn�e b �yt absolutn��
X v �aha se m�e�r�� na kp, d �elka na mX hodnota v �ysledku m�e�ren�� bezpe�cnostn�� vlastnosti m�u�ze b �yt
vyjad�rovan �a indexem ve �sk �ale, pou�zit �a �sk �ala m�u�ze b �yt subjektivn��
Jan Staudek, FI MU Brno | PV017 { Metriky, m�e�ren�� v �zivotn��m cyklu ISMS 9
Metriky
2 P�r��li�s �cast �e m�e�ren�� m�u�ze b �yt nam�ahav �e a drah �e,
n��zk �a frekvence m�e�ren�� m�u�ze poskytovat irelevantn�� data
2 Nam�e�ren �e hodnoty se vesm�es vyjad�ruj�� pomoc��
vhodn �ych stupnic
X Stupnice {
uspo�r �adan �a mno�zina spojit �ych (metrick �ych) nebodiskr �etn��ch hodnot vlastnost�� m�e�ren �eho objektu nebo
mno�zina kategori��,do kter �ych se zobrazuj�� vlastnosti m�e�ren �eho objektu
X Typ stupnice je dan �y vztahem mezi hodnotami ve stupnici
X Vyj �ad�ren�� metriky numericky �ci procentem redukuje subjektivnostmetriky maj�� b �yt objektivn��
Jan Staudek, FI MU Brno | PV017 { Metriky, m�e�ren�� v �zivotn��m cyklu ISMS 10
�Sk �ala, stupnice (scale)
2 Nomin �aln�� stupnice { nemetrick �a stupnice
kvalitativn�� stupnice o jej���z dvou hodnot �ach m�u�zeme
pouze �r��ci, zda jsou stejn �e �ci r �uzn �e.
Hodnotami nomin �aln�� stupnice mohou b �yt
texty �ci �c��seln �e k �ody,
lze u nich zji�st'ovat jen rozd�elen�� �cetnost��,
nem�u�zeme s nimi prov �ad�et aritmetick �e operace
(s�c��tat apod.)
Sest �av �a ze dvou �ci v��ce vz �ajemn�e se vylu�cuj��c��ch
kategori�� (t�r��d).
P�r.: Hrozby: podvod, ztrata duvernosti, zneprıstupnenı, . . .
Jan Staudek, FI MU Brno | PV017 { Metriky, m�e�ren�� v �zivotn��m cyklu ISMS 11
�Sk �ala, stupnice (scale)
2 Ordin �aln�� (po�radnicov �a) stupnice { nemetrick �a stupnice
kvalitativn�� stupnice u jej���z dvou hodnot �ach m�u�zeme
nav��c ur�cit po�rad��,
p�ri�cem�z �useky mezi jednotliv �ymi hodnotami nemus�� b �yt
stejn �e (stejn�e v �yznamn �e)
kategorie lze mezi sebou porovn �avat a ur�cit jejich po�rad��,
ale nem�a smysl prov �ad�et s nimi aritmetick �e operace, nap�r.
ur�covat jejich rozd��l
P�r.: Riziko: zanedbatelne, bezne, katastroficke, . . .
Jan Staudek, FI MU Brno | PV017 { Metriky, m�e�ren�� v �zivotn��m cyklu ISMS 12
�Sk �ala, stupnice (scale)
2 Intervalov �a stupnice { metrick �a stupnice
kvantitativn�� stupnice pro jej���z dv�e hodnoty m�u�zeme nav��c
(k mo�znostem ordin �aln��) vypo�c��tat, o kolik je jedna
hodnota v�et�s�� (resp. men�s��) ne�z druh �a,
Nulov �a pozice na stupnici je v�ec�� volby.
M�e�ren �e �useky na stupnici jsou stejn�e velk �e,
lze ur�cit velikost rozd��lu mezi libovoln �ymi dv�ema
hodnotami znaku, ale nem�a v �yznam ur�covat jejich pod��l
Stejn �e rozd��ly mezi numerick �ymi hodnotami odpov��daj��
stejn �ym rozd��l �um mezi m�e�ren �ymi vlastnostmi
M�e�r��me nap�r. ka�zd �y m�es��c velikost dostupn �e kapacity
vn�ej�s�� pam�eti
Jan Staudek, FI MU Brno | PV017 { Metriky, m�e�ren�� v �zivotn��m cyklu ISMS 13
�Sk �ala, stupnice (scale)
2 Pom�erov �a, racion �aln�� stupnice { metrick �a stupnice
kvantitativn�� stupnice pro jej���z dv�e hodnoty m�u�zeme nav��c
(k mo�znostem intervalov �e) vypo�c��tat, kolikr �at je jedna
hodnota v�et�s�� (resp. men�s��) ne�z druh �a,
obsahuje pouze o kladn �e hodnoty.
Nulov �a pozice na pom�erov �e stupnici je d �ana pevn�e a
vyjad�ruje naprostou nep�r��tomnost m�e�ren �e vlastnosti.
N�eco se d�eje 2x �cast�eji ne�z n�eco jin �eho.
Jan Staudek, FI MU Brno | PV017 { Metriky, m�e�ren�� v �zivotn��m cyklu ISMS 14
Pragmatick �e �uvahy o n �avrhu m�e�ren�� bezpe�cnosti
2 Co m�e�rit ?
X jen to, co chceme opakovan�e, systematicky, rutinn�e vyhodnocovat
X sb��r �ame jen ta data, kter �a budeme analyzovat
X d�el �ame jen ty anal �yzy, jejich�z v �ysledky prakticky vyu�zijeme
2 Jak m�e�rit ?
X Mus��me de�novat kdo d�el �a kter �a m�e�ren�� a jak a co jsou v �ysledky
X Mus��me v�ed�et jak bezpe�cn�e uchov �avat v �ysledky m�e�ren��
X Za�c��n �ame s minim �aln��m rozsahem m�e�ren�� a m�e�ren�� roz�si�rujemea�z kdy�z se uk �a�ze nutnost m�e�ren�� roz�s���rit, metoda KISS(Keep It Simple and Stupid)
2 Jak dokumentovat, jak prezentovat v �ysledky m�e�ren�� ?
X viz syst �em zpr �av v n �asleduj��c��m v �ykladu
X mus��me de�novat jak implementovat zpravodajsk �y syst �em
Jan Staudek, FI MU Brno | PV017 { Metriky, m�e�ren�� v �zivotn��m cyklu ISMS 15
Prezentace v �ysledk �u m�e�ren��
Syst �em zpr �av m�a p�redpisovat bezpe�cnostn�� politika ISMS, nap�r.
2 v �yro�cn�� velmi d �uv�ern �a hodnot��c�� zpr �ava pro
CEO (Chief Executive Officer) a p�redstavenstvo
2 �ctvrtletn�� d �uv�ern �y report pro vy�s�s�� management organizace
odpov�edn �y stav bezpe�cnosti
X ob�e zpr �avy typicky pod �av �a bezpe�cnostn�� architektvych �az�� typicky z m�es���cn��ch report �u { viz n���ze
2 m�es���cn�� reporty pro
CTO (Chief Technology Officer ) /CIO (Chief Information Officer) /CISO (Chief Information Security Officer)
X zpr �avy pod �avaj�� role odpov�edn �e za v �ykon/�r��zen�� bezpe�cnosti
Jan Staudek, FI MU Brno | PV017 { Metriky, m�e�ren�� v �zivotn��m cyklu ISMS 16
Model m�e�ren�� informa�cn�� bezpe�cnosti
Jan Staudek, FI MU Brno | PV017 { Metriky, m�e�ren�� v �zivotn��m cyklu ISMS 17
Kroky p�ri konstrukci v �ysledku m�e�ren��
Jan Staudek, FI MU Brno | PV017 { Metriky, m�e�ren�� v �zivotn��m cyklu ISMS 18
Z �akladn�� metriky a metody m�e�ren��
2 Z �akladn�� metrika je dan �a
metodou m�e�ren�� a m�e�renou vlastnost�� objektu m�e�ren��
2 Metoda m�e�ren��
X Genericky popsan �y logick �y sled operac�� prokvanti�kaci vlastnost�� m�e�ren �eho objektuv dan �e �sk �ale hodnot
X Typ metody m�e�ren�� z �avis�� na povaze operac��pou�zit �ych pro kvanti�kaci vlastnost��:
- Subjektivn��: kvanti�kace zahrnuj��c�� lidsk �y �usudek
- Objektivn��: kvanti�kace na z �aklad�e numerick �ych pravidel
X Operac�� m�u�ze b �yt �c��t �an�� v �yskyt �u, sledov �an�� b�ehu �casu,audit, interview, . . .
Jan Staudek, FI MU Brno | PV017 { Metriky, m�e�ren�� v �zivotn��m cyklu ISMS 19
P�r��klad z �akladn�� metriky, metody m�e�ren��, . . .
X C��lem necht' je m�e�ren�� trendu vyhov�en�� politice
Zajist’ovanı vedomı zamestnancu o informacnı bezpecnosti ,probl �emem je jak p�re- tak i poddimenzov �an�� rychlosti pro�skolov �an��
X P�redm�et (objekt) m�e�ren�� { syst �em �skolen�� v ITSec
X M�e�ren �e vlastnosti { zam�estnanci identi�kovan�� v pl �anu �skolen�� azam�estnanci, kte�r�� �usp�e�sn�e absolvovali �skolen��
X Metody m�e�ren�� { �c��t �an��zam�estnanc �u v pl �anu �skolen�� azam�estnanc �u s �usp�e�sn�e slo�zenou z �av�ere�cnou zkou�skou po �skolen��
X Z �akladn�� metriky { po�cty pl �anovan �ych/ �usp�e�sn�e pro�skolen �ych osob
X Odvozenou metrikou je trend pro�skolov �an�� v pr �ub�ehu roku,z��skan �y vhodnou m�e�r��c�� funkc�� ze z �akladn��ch metrik
X Pro odvozen�� indikace problematick �eho trendu se pou�zije{ vhodn �y analytick �y model,{ z �akladn�� a odvozen �e metriky a{ adekv �atn�� rozhodovac�� krit �eria
Jan Staudek, FI MU Brno | PV017 { Metriky, m�e�ren�� v �zivotn��m cyklu ISMS 20
Vybran �e p�r��klady p�redm�et �u (objekt �u) m�e�ren��
2 V �ykonnost opat�ren�� implementovan �ych v ISMS
2 Stav informa�cn��ch aktiv chr �an�en �ych opat�ren��mi
2 V �ykon proces �u implementovan �ych v ISMS
2 Chov �an�� person �alu podl �ehaj��c��ho implementovan �emu ISMS
2 �Cinnosti organiza�cn��ch jednotek odpov�edn �ych
za informa�cn�� bezpe�cnost
2 �Urove �n spokojenosti z �u�castn�en �ych stran
2 . . .
Jan Staudek, FI MU Brno | PV017 { Metriky, m�e�ren�� v �zivotn��m cyklu ISMS 21
Zdroje informac�� o p�redm�etech m�e�ren�� a jejich vlastnost��
2 V �ysledky anal �yzy rizik a posuzov �an�� rizik
2 Dotazn��ky a interview
2 Zpr �avy intern��ch a / nebo extern��ch audit �u
2 Z �aznamy o ud �alostech, jako jsou protokoly (logy),
statistick �e �udaje a zji�st �en�� z audit �u
2 Zpr �avy o incidentech, zejm �ena ty, kter �e zp �usobily �skody
2 V �ysledky test �u, nap�r. penetra�cn��ch test �u, soci �aln��ho
in�zen �yrstv��, vyhov�en�� regula�cn��m opat�ren��m a politik �am
2 Z �aznamy z procedur a program�u souvisej��c��ch
s informa�cn�� bezpe�cnost�� organizace,
nap�r. v �ysledky �skolen�� o informa�cn�� bezpe�cnosti
Jan Staudek, FI MU Brno | PV017 { Metriky, m�e�ren�� v �zivotn��m cyklu ISMS 22
Potenci �aln�� metriky bezpe�cnosti informac��, ISO/IEC 27004
2 Statistiky zm�en IT
X po�cty a trendy zm�en z d �uvod �u odhalen��katastro�ck �ych, v �yznamn �ych, b�e�zn �ych, akceptovateln �ych rizik
X po�cty a trendy n �avrat �u k p�redchoz��m �re�sen��m
X po�cty a trendy �usp�e�sn �ych vs. ne �usp�e�sn �ych zm�en
2 metriky vyzr �av �an�� IT proces �u souvisej��c��ch s bezpe�cnost��
X polo�cas aplikace bezpe�cnostn��ch z �aplat {za jak dlouho se z �aplaty um��st�� na v��ce ne�z 50% zraniteln �ych syst �em�u
2 Statistiky dopad �u �skodliv �eho software
X po�cty vir �u, Trojsk �ych ko �n �u, spamu, trendy t�echto po�ct �u
Jan Staudek, FI MU Brno | PV017 { Metriky, m�e�ren�� v �zivotn��m cyklu ISMS 23
Potenci �aln�� metriky bezpe�cnosti informac��, ISO/IEC 27004
2 Statistiky odvozen �e z audit �u extern��ch auditor �u
X po�cty a trendy po�ct �u doporu�cen�� auditor �u
X krizov �a, v �a�zn �a, upozor �novac�� odhalen��, . . .
X trendy akceptov �an�� doporu�cen�� z auditu managementem
2 P�r��klad doporu�cen�� auditor �u ve �sk �ale klasi�kac�� zji�st �en �ych
nedostatk �u
X Z �ava�znost A { zji�st �en �y nedostatek je velmi z �ava�zn �y (velmi v �yznamn �y).Velmi v �yznamn�e naru�suje bezpe�cnost syst �emu. Doporu�cujeme conejrychlej�s�� (pokud mo�zno okam�zit �e) odstran�en�� nedostatku.V p�r��pad�e nov �eho syst �emu doporu�cujeme odstran�en�� nedostatkuje�st�e p�red jeho nasazen��m.
X pokra�c.
Jan Staudek, FI MU Brno | PV017 { Metriky, m�e�ren�� v �zivotn��m cyklu ISMS 24
Potenci �aln�� metriky bezpe�cnosti informac��, ISO/IEC 27004
X Z �ava�znost B { zji�st �en �y nedostatek je st�redn�e z �ava�zn �y (v �yznamn �y).Ohro�zuje bezpe�cnost syst �emu, av�sak ohro�zen�� nen�� bezprost�redn�� nebonen�� velmi z �ava�zn �e. Nedostatek by m�el b �yt odstran�en p�ri nejbli�z�s��vhodn �e p�r��le�zitosti.
X Z �ava�znost C { zji�st �en �y nedostatek nen�� z �ava�zn �y, neznamen �a konkr �etn��ohro�zen�� bezpe�cnosti syst �emu, ale m�u�ze b �yt pova�zov �an za p�restupekproti bezpe�cnostn��m zvyklostem. Hodnotitel �e doporu�cuj�� odstran�en��tohoto nedostatku p�ri vhodn �e p�r��le�zitosti, nerespektov �an�� tohotodoporu�cen�� nemus�� v �est k ohro�zen�� bezpe�cnosti syst �emu.
X Z �ava�znost nen�� { zji�st �en �y nedostatek nen�� z �ava�zn �y, neznamen �akonkr �etn�� ohro�zen�� bezpe�cnosti syst �emu, ale m�u�ze b �yt pova�zov �an zap�restupek proti bezpe�cnostn��m zvyklostem. V�et�sinou se jedn �ao p�r��pady, kdy hodnotitel �e si jsou v�edomi skute�cnosti, �ze zasou�casn �eho stavu technologie nen�� k dispozici p�rijateln �e technick �e�re�sen��, kter �e by toto relevantn�e odstranilo.
Jan Staudek, FI MU Brno | PV017 { Metriky, m�e�ren�� v �zivotn��m cyklu ISMS 25
Potenci �aln�� metriky bezpe�cnosti informac��, ISO/IEC 27004
2 Konkr �etn�� p�r��klady zji�st �en �ych nedostatk �u a jejich klasi�kac��
X Z �ava�znost A {
Procesy pro tisk PIN�u vy�zaduj��, aby na tiskov �em po�c��ta�ci bylo ru�cn�em�en�eno syst �emov �e datum na �ktivn�� hodnoty. Tato praxe jene�z �adouc��, je v rozporu s po�zadavky na bezpe�cn �e protokolov �an��.
Ve v �yvojov �em nebo v testovac��m prost�red�� se pou�z��vaj�� �ziv �a datao z �akazn��c��ch.
X Z �ava�znost B {
K tiskov �emu PC se pracovn��ci p�rihla�suj�� jedin �ym spole�cn �ymu�zivatelsk �ym jm�enem. Jednotliv�� pracovn��ci nemaj�� individu �aln�� �u�cty.
X Z �ava�znost C {
V session-ID syst �emu XXXX nen�� zabudov �ana IP adresa klienta,kter �y vytvo�ril po�zadavek (je zde tedy potenci �aln�� hrozba, zda nen��mo�zn �e un �est sezen�� na jinou IP adresu).
Jan Staudek, FI MU Brno | PV017 { Metriky, m�e�ren�� v �zivotn��m cyklu ISMS 26
Potenci �aln�� metriky bezpe�cnosti informac��, ISO/IEC 27004
X Z �ava�znost nen�� {
Heslo BIOS je u v�sech po�c��ta�c �u stejn �e, m�en�� se ve v��celet �ychintervalech. Skute�cnost, �ze toto heslo je zn �amo iextern��m pracovn��k �um je bezpe�cnostn��m rizikem, av�sak za sou�casn �ehostavu technologie nen�� k dispozici p�rijateln �e technick �e �re�sen��,kter �e by toto riziko odstranilo.
Jan Staudek, FI MU Brno | PV017 { Metriky, m�e�ren�� v �zivotn��m cyklu ISMS 27
Potenci �aln�� metriky bezpe�cnosti informac��, ISO/IEC 27004
2 Statistiky odvozen �e z audit �u odd�elen��m vnit�rn�� kontroly
X obvykle jsou detailn�ej�s��, pokr �yvaj�� v��ce probl �em�u organizace
X mohou b �yt ale m�en�e objektivn��
2 Statistiky Help Desk
X po�cty a typy dotaz �u, �z �adost��, upozorn�en��, kritik, . . .
X po�cty �z �adost�� o zm�enu hesla, . . .
2 Statistiky bezpe�cnostn��ch incident �u
X po�cty a trendy po�ct �u pr �unik �u, phishing �utok �u, . . .
X hodnocen�� detekc�� a efektivnost�� n �aprav
Jan Staudek, FI MU Brno | PV017 { Metriky, m�e�ren�� v �zivotn��m cyklu ISMS 28
Potenci �aln�� metriky bezpe�cnosti informac��, ISO/IEC 27004
2 Statistiky z �rewall �u
X po�cty a trendy po�ct �u p�r��stup �u na zak �azan �e zdroje z organizace
X po�cty a trendy po�ct �u hackersk �ych �utok �u
2 Statistiky zranitelnost�� syst �em�u a s��t'ov �ych prost�red��
X po�cty zn �am �ych zraniteln �ych m��st
X po�cty a trendy jejich likvidac��, objevov �an��
X rychlost oprav z �aplatami od v �yrobc �u
2 . . .
Jan Staudek, FI MU Brno | PV017 { Metriky, m�e�ren�� v �zivotn��m cyklu ISMS 29
P�r��klady metrik opat�ren�� na �urovni aplika�cn�� bezpe�cnosti
2 Spr �ava tajn �ych autentiza�cn��ch informac�� u�zivatel �u
X % aplikac�� s implicitn��m heslem prodejce software
X % aplikac�� s podporou politiky hesel
2 Hodnocen�� p�r��stupov �ych pr �av u�zivatel �u
X % kritick �ych aplikac�� s periodicky posuzovan �ymi p�r��stupov �ymi pr �avy
2 Omezov �an�� p�r��stupu k informac��m
X % aplikac�� s dokumetovan �ymi rolemi a opr �avn�en��mi
2 Separace v �yvojov �eho, testovac��ho, akcepta�cn��ho a provozn��ho
prost�red��
X % kritick �ych aplikac�� kter �e maj�� de�novan �a tato prost�red��
Jan Staudek, FI MU Brno | PV017 { Metriky, m�e�ren�� v �zivotn��m cyklu ISMS 30
P�r��klady metrik opat�ren�� na �urovni aplika�cn�� bezpe�cnosti
2 Zaznamen �av �an�� bezpe�cnostn��ch ud �alost��
X % aplikac�� sledovan �ych v re�zimu 24x7x365
X % aplikac�� s pravideln�e prov �ad�enou anal �yzou z �aznam�u ud �alost��
2 P�rej��mac�� testov �an�� syst �emu
X % aplikac�� spl �nuj��c��ch z �akladn�� bezpe�cnostn�� standardy
X % aplikac�� s vypracovan �ym pl �anem zachov �an�� �cinnosti
Jan Staudek, FI MU Brno | PV017 { Metriky, m�e�ren�� v �zivotn��m cyklu ISMS 31
�U�castn��ci m�e�ren��
X M�e�ren�� poskytuje informace pro . . .management ISMS,bezpe�cnostn�� management a pro management . . . , jsou toklienti m�e�ren�� (Clients for measurement)
X Princip m�e�ren�� validuje bezpe�cnostn�� mana�zer, jehodnotitel m�e�ren�� (Reviewer for measurement)
X Vlastn��ky informac�� o m�e�ren �ych objektechjsou . . . spr �avce informa�cn�� bezpe�cnosti, mana�zer . . . , jsou tovlastn��ci informac�� (Information Owners)
X Data nutn �a pro m�e�ren�� shroma�zd'uje, zaznamen �av �a a uchov �av �a. . . IT odd�elen��, . . . , jejich zam�estnanci jsoum�e�ri�ci (Information Collectors)
X Anal �yzu a zve�rejn�en�� v �ysledk �u m�e�ren�� prov �ad�ej��mana�ze�ri odpov�edn�� za ISMS, jsouinterpret �ato�ri v �ysledk �u m�e�ren�� (Information Communicators)
Jan Staudek, FI MU Brno | PV017 { Metriky, m�e�ren�� v �zivotn��m cyklu ISMS 32
P�r��klad zaveden�� m�e�ren�� (dokument)
2 N�azev m�e�ren��
X Obnova provozn��ho syst �emu ze z �alohy
2 �C��seln �a (katalogov �a) identi�kace m�e�ren��
X . . .
2 C��l m�e�ren��
X Z��skan�� d �ukaz �u potvrzuj��c��ch platnost z �aruky,�ze se ka�zd �a po�zadovan �a operace obnovy provede do 48 hodin
2 M�e�ren �y objekt (bezpe�cnostn�� opat�ren��)
X Z �alohovac�� postupy a procesy zaji�st'uj��c�� integritu a dostupnostz �alo�zn��ch kopi�� dat a software
X P�rijat �a politika z �alohov �an�� organizace zaji�st'uje pravideln �e vytv �a�ren��a testov �an�� z �alo�zn�� kopie dat a software
Jan Staudek, FI MU Brno | PV017 { Metriky, m�e�ren�� v �zivotn��m cyklu ISMS 33
P�r��klad m�e�ren��, P�redm�ety m�e�ren�� a jejich vlastnosti
2 Podrobn �y v �y�cet p�redm�et �u (objekt �u) m�e�ren��
X O1: Syst �em spr �avy po�zadavk �u na obnovu ze z �alohy
X O2: datab �aze z �aznam�u z �alohovac��ho syst �emu (logy)
2 M�e�ren �a vlastnost objektu O1,
syst �emu spr �avy po�zadavk �u na obnovu ze z �alohy,
X A1: Evidence p�rij��man �ych po�zadavk �u na obnovovac�� operaci
2 M�e�ren �a vlastnost objektu O2,
datab �aze z �aznam�u z �alohovac��ho syst �emu
X A2: Evidence �casov �ych �udaj �u prov �ad�en�� operac�� obnovy
Jan Staudek, FI MU Brno | PV017 { Metriky, m�e�ren�� v �zivotn��m cyklu ISMS 34
P�r��klad m�e�ren��, Z �akladn�� metriky a metody m�e�ren��
2 Z �akladn�� metriky
X B1 (m�e�ren�� A1): Po�cet po�zadavk �u na operaci obnovy
X B2.1 (m�e�ren�� A2): Doby startu a ukon�cen�� operac�� obnovy
X B2.2 (m�e�ren�� A2): Po�cet proveden �ych operac�� obnovy
2 Metody m�e�ren��
X M1 (z��sk �av �a B1): Spo�c��taj�� se po�zadavky na operaci obnovy zadan �eza posledn�� m�es��c (interval prov �ad�en�� m�e�ren��)
X M2.1(z��sk �av �a B2.1): Zaznamenaj�� se doby startu aukon�cen�� v�sech operac�� obnovy proveden �ych za posledn�� m�es��c
X M2.2 (z��sk �av �a B2.2): Spo�c��taj�� se proveden �e operace obnovyza posledn�� m�es��c
Jan Staudek, FI MU Brno | PV017 { Metriky, m�e�ren�� v �zivotn��m cyklu ISMS 35
P�r��klad m�e�ren��, Z �akladn�� metriky a metody m�e�ren��
2 Typy metod m�e�ren��
X V�sechny metody m�e�ren�� jsou objektivn��
2 Stupnice, jednotky m�e�ren��, typy stupnic
X pro B1: (Po�cet po�zadavk �u na operaci obnovy)integer,nomin �aln��,
X pro B2.1: (Po�cet obnovovac��ch operac��)y-m-d-t,intervalov �a
X pro B2.2: (Po�cet proveden �ych operac�� obnovy)integer,pom�erov �a,
Jan Staudek, FI MU Brno | PV017 { Metriky, m�e�ren�� v �zivotn��m cyklu ISMS 36
P�r��klad m�e�ren��, Speci�kace odvozen �ych metrik
2 Odvozen �e metriky
X D1: pom�er po�ctu operac�� obnovy proveden �ych za posledn�� m�es��ca operac�� obnovy po�zadovan �ych za posledn�� m�es��c, D1 = B2.2/B1
X D2: doby za kter �e se provedly operace obnovy proveden �eza posledn�� m�es��c
2 M�e�r��c�� funkce, Fi vypo�c��t �av �a Di
X F1: d�el�� se po�cet operac�� obnovy proveden �ych za posledn�� m�es��cpo�ctem operac�� obnovy po�zadovan �ych za posledn�� m�es��c
X F2: pro ka�zdou provedenou operaci obnovy za posledn�� m�es��cse spo�c��t �a jak dlouho trvala, (doba ukoncenı – doba startu)
Jan Staudek, FI MU Brno | PV017 { Metriky, m�e�ren�� v �zivotn��m cyklu ISMS 37
P�r��klad m�e�ren��, Indik �atory a analytick �y model
2 Indik �atory
X I1: kol �a�cov �y graf vyjad�ruj��c�� pom�er proveden �ych a neproveden �ychpo�zadovan �ych operac�� obnovy
X I2: kol �a�cov �y graf vyjad�ruj��c�� pom�er operac�� obnovy,kter �e se provedly a neprovedly do 48 hodin
2 Analytick �y model, AMi generuje Ii
X AM1: Po�cet proveden �ych operac�� obnovy se vyj �ad�r�� zelenou barvou,po�cet neproveden �ych operac�� se vyj �ad�r�� �cervenou barvou
X AM2: Po�cet proveden �ych operac�� obnovy do 48 hodin se vyj �ad�r��zelenou barvou, po�cet proveden �ych operac�� za del�s�� dobuse vyj �ad�r�� �cervenou barvou
Jan Staudek, FI MU Brno | PV017 { Metriky, m�e�ren�� v �zivotn��m cyklu ISMS 38
P�r��klad m�e�ren��, Rozhodovac�� krit �eria a v �ysledky m�e�ren��
2 Rozhodovac�� krit �eria
X DC1: Mus�� b �yt provedeny v�sechny operace obnovy
X DC2: V�sechny operace obnovy mus�� b �yt provedeny do 48 hodin
2 Interpretace indik �ator �u Ii
X I1: Pokud se neprovedlo 100 % po�zadovan �ych operac�� obnovy,mus�� se zjistit d �uvody a tyto sd�elit podle postupude�novan �eho v ISMS zpr �avou
X I2: Pokud se neprovedlo 100 % proveden �ych operac�� obnovydo 48 hodin,mus�� se zjistit d �uvody a a tyto sd�elit podle postupude�novan �eho v ISMS zpr �avou
Jan Staudek, FI MU Brno | PV017 { Metriky, m�e�ren�� v �zivotn��m cyklu ISMS 39
P�r��klad m�e�ren��, �U�castn��ci m�e�ren��, harmonogram
2 Zpr �avu o v �ysledc��ch m�e�ren�� dost �av �a
X vlastn��k z �alohovan �eho syst �emu pou�z��vaj��c��ho slu�zbu z �alohov �an��(management jednotky pou�z��vaj��c�� z �alohovan �y syst �em)
X spr �avce a t �ym zaji�st'uj��c�� chod z �alohuj��c��ho syst �emu prov �ad�ej��c��hoslu�zbu z �alohov �an��
2 Hodnotitel m�e�ren��: bezpe�cnostn�� mana�zer
2 Vlastn��ci informac��: IT odd�elen��
2 M�e�ri�ci: IT odd�elen��, spr �avci z �alohovac��ho syst �emu
2 Interpret �ato�ri: mana�zer ISMS
2 Harmonogram:
X perioda m�e�ren��, anal �yzy, generov �an�� zpr �avy { m�es��c
X perioda hodnocen�� a revize m�e�ren�� { rok
Jan Staudek, FI MU Brno | PV017 { Metriky, m�e�ren�� v �zivotn��m cyklu ISMS 40
P�r��klad m�e�ren��, Zpr �ava
2 zpr �ava mus�� m��t strukturu p�redepsanou pro
dokumenty v ISMS
2 N���ze jsou ilustrovan �e pouze indik �atory vypov��daj��c��
v tomto p�r��pad�e o n��zk �e kvalit �e z �alohovac��ho syst �emu
Jan Staudek, FI MU Brno | PV017 { Metriky, m�e�ren�� v �zivotn��m cyklu ISMS 41
top related