Informačná bezpečnosť a riadenie rizík v konkrétnej spoločnosti – Daniela Slávková

Anotace:

Cílem diplomové práce je aplikace metodiky kvalitativní analýzy rizik podle normy ISO/IEC 27005:2011 a zvýšení povědomí o existujících hrozbách, z nich plynoucích dopadů na informační aktiva a návrh možných bezpečnostních opatření pro minimalizaci identifikovaných hrozeb v konkrétní společnosti. Práce je rozdělena do pěti kapitol. Úvodní kapitola vysvětluje základní pojmy informační bezpečnosti a řízení rizik v organizaci, které jsou nezbytné pro pochopení principů a samotného významu řízení informační bezpečnosti. Druhá kapitola pojednává o mezinárodních standardech zaměřených na informační bezpečnost a stručně popisuje ISO/IEC 27001, ISO/IEC 27002 a ISO/IEC 27005. Následující dvě kapitoly tvoří plynulý přechod od teoretické k praktické části. V třetí kapitole je charakterizována zvolená společnost a popsán aktuální stav informační bezpečnosti ve společnosti. Čtvrtá kapitola tvoří metodický aparát kvalitativní analýzy rizik, sestavený podle normy ISO/IEC 27005:2011. Obsahuje seznam relevantních hrozeb, kterým je aktivum společnosti vystaveno. V poslední kapitole je provedena kvalitativní analýza rizik, spolu s návrhem opatření pro jejich minimalizaci. Z praktické části vyplývá, že implementací navržených opatření společnost sníží stávající rizika na přijatelnou úroveň a výrazně tak zlepší ochranu informačních aktiv …víceméně

Abstract:

The aim of the thesis is to apply the methodology of qualitative risk analysis according to ISO/EC/27005:2011 and to increase awareness of existing threats and impacts on information assets and to create possible security precautions to minimize identified threats in a particular company. The thesis is divided into five chapters. Introductory chapter explains the basic concepts of information security and risk management in the organization that are necessary for understanding of the principles and the importance of information security. The second chapter deals with the international standards aimed at information security and briefly describes ISO/IEC 27001, ISO/IEC 27002 and ISO/IEC 27005. The following two chapters form a smooth transition from the theoretical to the practical part. The third chapter characterizes selected company and describes the current state of information security in the company. The fourth chapter forms the methodological apparatus of qualitative risk analysis, compiled in accordance with ISO/IEC 27005:2011. It also contains a list of relevant threats, to which an asset of the company is exposed. The last chapter is conducted to qualitative risk analysis, together with the draft of the precautions to minimize the risks. The practical section shows that by the implementing the proposed action the company will reduce existing risks to acceptable levels and will significantly improve the protection of information assets. …víceméně

Abstract:

Cieľom diplomovej práce je aplikácia metodiky kvalitatívnej analýzy rizík podľa normy ISO/EC/27005:2011 a zvýšenie povedomia o existujúcich hrozbách, z nich plynúcich dopadov na informačné aktíva a návrh možných bezpečnostných opatrení pre minimalizáciu identifikovaných hrozieb v konkrétnej spoločnosti. Práca je rozdelená do piatich kapitol. Úvodná kapitola vysvetľuje základné pojmy informačnej bezpečnosti a riadenia rizík v organizácii, ktoré sú nevyhnutné pre pochopenie princípov a samotného významu riadenia informačnej bezpečnosti. Druhá kapitola pojednáva o medzinárodných štandardoch zameraných na informačnú bezpečnosť a stručne popisuje ISO/IEC 27001, ISO/IEC 27002 a ISO/IEC 27005. Nasledujúce dve kapitoly tvoria plynulý prechod od teoretickej ku praktickej časti. V tretej kapitole je charakterizovaná zvolená spoločnosť a popísaný aktuálny stav informačnej bezpečnosti v spoločnosti. Štvrtá kapitola tvorí metodický aparát kvalitatívnej analýzy rizík, zostavený podľa normy ISO/IEC 27005:2011. Obsahuje zoznam relevantných hrozieb, ktorým je aktívum spoločnosti vystavené. V poslednej kapitole je vykonaná kvalitatívna analýza rizík, spolu s návrhom opatrení pre ich minimalizáciu. Z praktickej časti vyplýva, že implementáciou navrhovaných opatrení spoločnosť zníži existujúce riziká na prijateľnú úroveň a výrazne tak zlepší ochranu informačných aktív. …víceméně