Rozšířený model pro hodnocení opatření bezpečnosti informací – Radek Fischer

Anotace:

Práce se zabývá tvorbou rozšířeného modelu pro hodnocení opatření bezpečnosti. Hodnocení opatření bezpečnosti je jedním z procesů řízení rizik, které je součástí systému řízení bezpečnosti informací ISMS. Práce obsahuje nastínění problematiky bezpečnosti informací a představuje různé metodiky zabývající se touto problematikou a následně vybírá dvě použité pro tuto práci, a to přesněji ČSN ISO/IEC 27001:2014 a NIST 800 53. Tyto dvě normy pro řízení bezpečnosti byly následně použity pro tvorbu modelu. Samotný model je představen ve druhé části práce. Model propojuje opatření bezpečnosti z obou výše zmíněných norem. Pokud organizace zavede opatření dle NIST 800_53, tak tím vyhoví požadavkům definovaným v ČSN ISO/IEC 27001:2014; Příloha A. Zároveň je tento model uzpůsoben k hodnocení naplnění těchto opatření, tedy toho, jak jsou jednotlivá opatření zavedena do prostředí organizace. Tím poskytuje zpětnou vazbu o aktuálním stavu těchto bezpečnostních opatření. Hodnocení je nastaveno jako hodnocení jednotlivých opatření bezpečnosti NIST 800_53. Zaznamenané údaje jsou modelem přepočítány do procentuální hodnota naplnění jednotlivých opatření bezpečnosti z výše zmíněné Přílohy A. Tyto informace jsou následně použitelné pro samotný systém řízení rizik a plánování dalších prací při zavádění a zlepšování bezpečnostních opatření. …víceméně

Abstract:

Subject of the thesis is to create extended model for the evaluation of information security controls. Evaluation of security controls is one from many processes of risk management which is part of information security management system ISMS. Thesis contains the outline of issue of information security and introduce various publications of information security management. Two of these publications were chosen and are used in this thesis. It is ČSN ISO/IEC 27001:2014 and NIST 800_53. These two standards are used for creation of introduced model. Model itself is introduced in second part of the thesis. Model is connecting security controls from these two standards. If organization implements security controls from NIST 800_53, meet requirements defined in ČSN ISO/IEC 27001:2014; Apendix A. This model is also customized for evaluation of security controls and giving feedback to evaluator about state of implementation of security controls. This evaluation process is setup as evaluation of NIST 800_53 security controls and after that these data are recalculated into percentage value of implementation of security controls from Apendix A. Results of this process are most valuable for risk management, for planning an implementation of security controls and for improvement of already implemented. …víceméně