Rozšířený model pro hodnocení opatření bezpečnosti informací

Název práce: Rozšířený model pro hodnocení opatření bezpečnosti informací
Autor(ka) práce: Fischer, Radek
Typ práce: Diplomová práce
Vedoucí práce: Doucek, Petr
Oponenti práce: Světlík, Marián
Jazyk práce: Česky
Abstrakt:
Práce se zabývá tvorbou rozšířeného modelu pro hodnocení opatření bezpečnosti. Hodnocení opatření bezpečnosti je jedním z procesů řízení rizik, které je součástí systému řízení bezpečnosti informací ISMS. Práce obsahuje nastínění problematiky bezpečnosti informací a představuje různé metodiky zabývající se touto problematikou a následně vybírá dvě použité pro tuto práci, a to přesněji ČSN ISO/IEC 27001:2014 a NIST 800 53. Tyto dvě normy pro řízení bezpečnosti byly následně použity pro tvorbu modelu. Samotný model je představen ve druhé části práce. Model propojuje opatření bezpečnosti z obou výše zmíněných norem. Pokud organizace zavede opatření dle NIST 800_53, tak tím vyhoví požadavkům definovaným v ČSN ISO/IEC 27001:2014; Příloha A. Zároveň je tento model uzpůsoben k hodnocení naplnění těchto opatření, tedy toho, jak jsou jednotlivá opatření zavedena do prostředí organizace. Tím poskytuje zpětnou vazbu o aktuálním stavu těchto bezpečnostních opatření. Hodnocení je nastaveno jako hodnocení jednotlivých opatření bezpečnosti NIST 800_53. Zaznamenané údaje jsou modelem přepočítány do procentuální hodnota naplnění jednotlivých opatření bezpečnosti z výše zmíněné Přílohy A. Tyto informace jsou následně použitelné pro samotný systém řízení rizik a plánování dalších prací při zavádění a zlepšování bezpečnostních opatření.
Klíčová slova: analýza rizik; ČSN ISO/IEC 27001:2014; řízení rizik; bezpečnost informací; hodnocení; NIST 800-53, rev. 4; opatření bezpečnosti
Název práce: Extended model for the evaluation of information security controls
Autor(ka) práce: Fischer, Radek
Typ práce: Diploma thesis
Vedoucí práce: Doucek, Petr
Oponenti práce: Světlík, Marián
Jazyk práce: Česky
Abstrakt:
Subject of the thesis is to create extended model for the evaluation of information security controls. Evaluation of security controls is one from many processes of risk management which is part of information security management system ISMS. Thesis contains the outline of issue of information security and introduce various publications of information security management. Two of these publications were chosen and are used in this thesis. It is ČSN ISO/IEC 27001:2014 and NIST 800_53. These two standards are used for creation of introduced model. Model itself is introduced in second part of the thesis. Model is connecting security controls from these two standards. If organization implements security controls from NIST 800_53, meet requirements defined in ČSN ISO/IEC 27001:2014; Apendix A. This model is also customized for evaluation of security controls and giving feedback to evaluator about state of implementation of security controls. This evaluation process is setup as evaluation of NIST 800_53 security controls and after that these data are recalculated into percentage value of implementation of security controls from Apendix A. Results of this process are most valuable for risk management, for planning an implementation of security controls and for improvement of already implemented.
Klíčová slova: NIST 800-53, rev.4; security controls; information security; risk analysis; ČSN ISO/IEC 27001:2014; risk management; evaluation

Informace o studiu

Studijní program / obor: Aplikovaná informatika/Informační management
Typ studijního programu: Magisterský studijní program
Přidělovaná hodnost: Ing.
Instituce přidělující hodnost: Vysoká škola ekonomická v Praze
Fakulta: Fakulta informatiky a statistiky
Katedra: Katedra systémové analýzy

Informace o odevzdání a obhajobě

Datum zadání práce: 20. 12. 2016
Datum podání práce: 5. 5. 2017
Datum obhajoby: 8. 6. 2017
Identifikátor v systému InSIS: https://insis.vse.cz/zp/60084/podrobnosti

Soubory ke stažení

    Poslední aktualizace: