Utvärdering av gapanalys för informationssäkerhet / Evaluation of a gap analysis for information security

Sörensen, Robin

January 2015

Informationssäkerhet innebär att skydda informationstillgångar avseende tillgänglighet, konfidentialitet, integritet och spårbarhet. För att hantera informationssäkerhet inom en verksamhet kan ett LIS (ledningssystem för informationssäkerhet) införas. MSB (Myndigheten för samhällskydd och beredskap) förvaltar ett metodstöd för att införa ett LIS och i detta metodstöd finns en gapanalys med inriktning mot informationssäkerhet. Denna gapanalys syftar till att kartlägga det nuvarande läget för informationssäkerhet inom organisationer för att jämföra detta mot den befintliga standarden ISO/IEC 27002. Problemet med denna gapanalys är att den är generiskt utformad för att passa de flesta organisationer och därför görs en undersökning för att undersöka hur denna gapanalys kan anpassas samt förbättras mot kommunal verksamhet. En anpassning innebär att delar kan tas bort från gapanalysen vilket skulle effektivisera informationssäkerhetsarbetet mot kommunal verksamhet. I förbättringsaspekten undersöks det hur väl gapanalysen förstås av den som ska delta i informationssäkerhetsarbetet. Utvärderingen har skett med kapitlet styrning av åtkomst ur gapanalysen, vilket avser hur åtkomsten hanteras till viktiga tillgångar som till exempel databaser innehållande känslig information. Denna rapport visar om en anpassning mot kommunal verksamhet kan göras gällande den gapanalys som MSB förvaltar samt visar möjliga förbättringsområden. För att få svar på undersökningens fråga användes intervjuer som metod.

Informationssäkerhet

Gapanalys

Kommunal verksamhet

ISO/IEC 27002

Computer and Information Sciences

Data- och informationsvetenskap

Systém řízení bezpečnosti informací společnosti BluePool s.r.o. / Information Security Management System in the company BluePool s.r.o.

Menčík, Jan

January 2017

This master thesis deals with the topics Information Security Management by the group of ISO/IEC 27000 norms and implementation of the Information Security Management System (ISMS) in one particular company. The theoretical part describes the group of norms ISO/IEC 27000 and the legislation and institutions related to these norms. Then the theoretical framework of a risk analysis is introduced. The benefits and possible obstacles when implementing the ISMS in an organization with emphasis on small businesses is described at the end of the theoretical part. The practical part includes a complex risk analysis and measures to be taken for the revealed risks. Furthermore, it involves the settings of the information security internal rules in the company Bluepool s.r.o. with regard to the risk management and information security policy. The conclusion of this part puts forward a proposal of the process and examples of implementation, time schedule and budget for implementation of adopted measures.

Návrh příručky kvality a některých souvisejících směrnic pro zkušební laboratoř

Černý, Ondřej

January 2007

Diplomová práce vznikla na základě spolupráce autora se zkušební laboratoří Policie ČR s působností na území hlavního města Prahy. Cílem práce je zpracovat této laboratoři na míru pro její vlastní potřebu příručku kvality tak, aby byla použitelná v každodenní praxi. Aby byla příručka kvality jako taková schválena příslušným akreditačním orgánem, je koncipována tak, aby splňovala všechny náležitosti a požadavky normy ČSN EN ISO/IEC 17025:2005 ? Posuzování shody ? Všeobecné požadavky na způsobilost zkušebních a kalibračních laboratoří.

Vplyv regulácií ISO 27001 a SOX na riadenie bezpečnosti informácií podniku / Impact of regulations ISO 27001 and SOX on information security management in enterprises

Bystrianska, Lucia

January 2015

The master thesis has analytical character and focuses on information security issues in enterprises. The mail goal of this thesis is to evaluate the impact of implemented standard ISO/IEC 27001 and regulation by American law SOX to overall information security. In order to preform the analysis, two medium-sized companies from the segment of services were selected: the first one with ISO/IEC 27001 certification and the second one regulated by SOX. The structure of the thesis contributes gradually with its steps to meet the goal. The first three chapters provide a theoretical basis for the analysis of information security. They contain a summary of key processes and tools essential for ensuring the information security and are based on the best practices included within the latest standards and methodologies and on practical experience. These chapters provide the basis for an evaluation guidance including criteria groups and defined variants of implemented security, which is described in the fourth chapter. The analysis of information security and the impact of regulations is part of the fifth chapter of this document. The sixth chapter contains final assessment and comparison of the impact, which the regulations have on information security of the selected companies. The final chapter summarizes and evaluates the results achieved with regards to the goal.

Stanovení zásad systému managementu informatiky kompatibilního s ISO 9001:2008 pro malé IS/IT neintenzivní podniky / ISO 9001:2008 compatible IT Management System Specification for IS/IT Non-intensive Small Businesses

Lozan, Petr

January 2012

Information systems and technologies (IT) are ubiquitous and play a significant role in everyday life of people and enterprises. Even the smallest organisations need to be sure, that their information systems are working properly, appropriately support their operations, are cost-effective and comply with regulations and other requirements. The service-based management approach to management of enterprise IT is the most promoted and widely used. But what if this approach is not equally suitable for enterprises of all sizes? This thesis presents an alternative approach to IT management, directly built on requirements of well-known International Standard ISO 9001:2008. For many people who know and understand ISO 9001 and its requirements, it should be easier to use their knowledge about management of quality for managing of IT than learn and implement IT service management and -- probably -- try to find out how to scale service management down to the environment of limited resources which is typical for small businesses. Author describes ISO 9001 as universal management system model and investigates requirements of ISO 9001:2008 related to information technology. Then attention is aimed to existing International Standards for various aspects of IT governance and management. Text describes main content of ISO/IEC 38500 for IT Governance, ISO/IEC 20000 for service management, selected standards from ISO/IEC 27000 series for information security management and ISO/IEC 19770-1 for software asset management. Next chapter shows mainly approach of COBIT5 and COBIT solutions suitable for small businesses -- COBIT Quickstart and COBIT Security Baseline. Last part of text explains, how ISO 9001:2008 was used and adapted to create the main subject of this thesis -- ISO 9001:2008 compatible IT Management System Specification for IS/IT Non-intensive Small Businesses.

Modelo de aporte de valor de la implantación de un sistema de gestión de servicios de TI (SGSIT), basado en los requisitos de la norma ISO/IEC 20000

BAUSET CARBONELL, MARÍA DEL CARMEN

13 July 2012

El presente trabajo de investigación tiene como objetivo analizar en qué medida una organización, al satisfacer los requisitos de la norma ISO/IEC 20000-1:2005 y obtener su certificación, aporta valor a la propia organización desde el punto de vista de la gestión de los servicios de TI. Esta tesis se ha desarrollado con el objetivo de proporcionar un modelo de referencia a cualquier organización, que necesite medir el aporte de valor de los servicios de tecnología de la organización. Los fundamentos de la investigación incluyen un análisis desde dos perspectivas claramente diferenciadas, es decir, un enfoque más tradicional orientado a definir instrumentos de medida de ayuda al autodiagnóstico en el campo de la creación de valor de la tecnología de la información, y otro enfoque más innovador relacionado con los marcos de trabajo de gestión de TI como ITIL, considerado como un estándar de �facto� aplicable a cualquier modelo empresarial, y la norma ISO/IEC 20000. El modelo ha permitido contrastar empíricamente los factores directos e indirectos que pueden estar relacionados con el aporte de valor de los servicios de TI, considerándose para ello factores tangibles e intangibles como la eficiencia en la provisión de los servicios de TI, soporte de la prestación de los servicios de TI, control sobre los servicios, eficiencia en la gestión de los proveedores y satisfacción de los clientes. Todo ello, se ha aplicado sobre los más de 90 servicios de TI de INDRA, consultora tecnológica de ámbito internacional, facilitando la aplicación de dicho modelo información estratégica para la dirección de sistemas internos de la organización, convirtiéndose en una herramienta de apoyo a la toma de decisiones. / Bauset Carbonell, MDC. (2012). Modelo de aporte de valor de la implantación de un sistema de gestión de servicios de TI (SGSIT), basado en los requisitos de la norma ISO/IEC 20000 [Tesis doctoral no publicada]. Universitat Politècnica de València. https://doi.org/10.4995/Thesis/10251/16546 / Palancia

Gestión servicios ti

Aporte valor

Itil

Iso/iec 20000

Sgsti

ORGANIZACION DE EMPRESAS

Standardisering av informationssäkerhet : Hur påverkar ett ledningssystem organisationen? En fallstudie hos ett svenskt SME

Brännlund, Jenny

January 2020

Vi befinner oss idag i informationseran och i denna tidsålder ökar både tillgängligheten och riskerna med teknologin och den data den hanterar. Organisationer av alla typer och branscher står inför samma utmaning, att skydda deras verksamhetskritiska data från illvilliga aktörer. Genom att införa ett standardiserat arbetssätt för informationssäkerhet kan många risker minimeras för organisationer av alla storlekar. Denna studie ämnar beskriva hur en certifiering mot en internationell standard för informationssäkerhet leder till förändring av organisationen och ledningssystemet hos ett svenskt SMF (små och medelstora företag) inom IT-sektorn. Studien genomförs med en enskild fallstudie med en kvalitativ metodologi, datainsamling och analys. Teori för informationssäkerhet, risker, kontroller och standardisering står som grund för undersökningen och empirin ställd mot den i analysen. Studiens slutsatser är att det sker en viss förändring av organisationen vid införandet av en standard och ett ledningssystem. Det införlivas ett säkerhetstänk i alla processer och rutiner i verksamheten. Studien framför även vikten av att ett ledningssystem för informationssäkerhet är anpassat efter och införlivat i organisationen. Efterlevnaden av systemet är centralt eftersom om det inte efterlevs så är investeringen bortkastad och förändringen oväsentlig. Övergripande syn på fallstudieobjektets inställning till standardiserad informationssäkerhet är positiv.

informationssäkerhet

IT-säkerhet

ledningssystem

ISO/IEC 27001

standardisering

certifiering

Information Systems

Informační bezpečnost jako ukazatel výkonnosti podniku / Information Security as an Indicator of Business Performance

Gancarčik, Rastislav

January 2017

The content of this thesis is a proposal of methodology for evaluating company's performance in areas of information security, while their performance will be judged based on compliance with standard ISO/IEC 27001:2013, Act no. 181/2014 Coll., Regulation 2016/679 of European Parliament and Directive 2016/1148 of the European Parliament. The proposal of this methodology is designed in a particular company which operates in the Czech Republic.

Simulátor průmyslové komunikace standardu IEC 61850 / IEC 61850 industrial communication simulator

Srp, Jakub

January 2020

This thesis is focused on IEC 61850 communication protocols SMV, GOOSE and MMS and their implementation in SCADA systems. There is a simulator, run on Raspberry Pi, that generates data according to IEC 61850 and transmits the data using protocols in question. The simulation consist of various virtual devices e.g. surge protection, undervoltage protection, circuit breaker, disconnector, HMI. The MMS protocol is used for station control. Simulation can be user-defined from textual configuration file.

Testování komunikace ochran podle IEC 61850 / Testing of the relay communication according IEC 61850

Uchytil, Tomáš

January 2011

This thesis contains an overview of a new standard IEC 61850. Parts of the standard are described particularly. More space is devoted to the analysis of communication in substations and to features of horizontal GOOSE messages. The other part is devoted to testers of protection and their use in testing of communication in substations according with IEC 61850. The last part is a practical example of using the tester and software for communication network monitoring and measurement of reaction of the system which is controlled with GOOSE messages.