Original title:
Hodnocení bezpečnosti informací v informačních systémech
Translated title:
Evaluation of information security in information systems
Authors:
Urbanec, Jiří ; Toman, Prokop (advisor) ; Vlasta , Vlasta (referee) Document type: Doctoral theses
Year:
2015
Language:
cze Publisher:
Česká zemědělská univerzita v Praze Abstract:
[cze][eng] Informace jsou pro organizace cenným aktivem a zdrojem konkurenční výhody. Proto je nezbytné zajistit a udržovat bezpečnostní charakteristiky procesů a systémů v požadovaných mezích a průběžně kvantitativně hodnotit stav na bázi měření. Problémem při samotném procesu měření se ukazuje výběr vhodných charakteristik a měr procesů a produktů, které by byly předmětem měření. Hlavním cílem disertační práce je návrh metodiky pro hodnocení bezpečnosti informací v informačních systémech organizací měřením a formulovat závěry a doporučení pro její využití v praxi. Situace v Českých organizacích byla zjištěna na základě kvantitativního průzkumu, ve kterém byla data sbírána pomocí dotazníkového šetření (N=785, n=101) a následný kvalitativní výzkum proběhl ve 3 organizacích z finančního sektoru v České republice. Výsledky ukázaly, že v současné době nadpoloviční většina zkoumaných organizací hodnotí informační systémy z pohledu rizika pro hodnotné informace (58,49 %). Organizace, které bezpečnost informací hodnotí, tak provádějí nejčastěji s cílem identifikovat slabiny a vznikající problémy (41,5 %). Pouze 17,6 % organizací hodnotí bezpečnost informací měřením. Práce identifikuje model chování organizace, navržený metodický postup definuje vlastní měřitelné charakteristiky systému identifikované pomocí rozšířeného bezpečnostního modelu, definuje proces vývoje měr v organizaci na bázi nástroje GQM, navrhuje měření kompatibilní s ISO 27004 a prezentuje hodnocení výsledků na základě změřených výstupů. Navržené postupy a konstrukty se zaměřily na zlepšení výzkumem identifikované oblasti "klasifikace informací" a "rozdílné vnímání hodnoty informace vlastníkem a zpracovatelem". Ověřeny byly na dvou anonymních organizacích a jsou prezentovány ve formě případové studie. Jedním ze závěrů je, že navržená metodika je použitelná organizacemi se silným technickým a finančním zázemím, kde je možno překonat náročné požadavky procesu vývoje měr a aplikace měření. Metodika samotná má pak své vlastní limity pro aplikaci.Information is a valuable asset for organizations and a source of competitive advantage nowadays. Therefore it is necessary to retain information security characteristics of processes and systems in required limits and continuously evaluate the state using measurement. The problem in measurement shows to be in the selection of suitable characteristics and measures of the processes or the products, which are subject to measurement.The main aim of the dissertation thesis is to design methodic for evaluating information security in information systems and formulate conclusions and recommendations for its use in practice. The situation in The Czech Republic was obtained based on a quantitative survey in which data was collected by means of a questionnaire survey (N=785; n=101) and qualitative research was conducted in the 3 organizations from financial sector in the Czech Republic. Results showed that at present an absolute majority of surveyed organizations evaluate information systems from the perspective of risk to valuable information (58.49%). Organizations evaluating information security are most often to identify weaknesses and emerging issues (41.5%). Only a 17.6% of them measure. The designed methodic identifies behavioral model of the organization, defines measurable characteristics of the system and the organization based on extended security model, defines process of development of the measures based on GQM tool, engages measurement process compatible with ISO 27004 and presents evaluation procedure using measured values. The proposed procedures and constructs focused on improvement of field detected by the survey, the "information classification" and "difference between perception of information value between owner and processor". The procedures were validated on two anonymous organizations and are presented in form of case studies. One of the conclusions is, that proposed methodic is applicable mostly in organizations with strong technical and financial base, where it is possible to overcome requirements of measures development processes and measurement application. Also the methodic of evaluation has its own limits of applicability.
Keywords:
bezpečnost informací; GQM; informace; informační systém; metodika; model; organizace; případová studie; výzkum