Späť


Integrácia manažmentu rizík do informačného systému

Garant: Mgr. Jana Uramová, PhD.
Učitelia: Ing. Michal Šterbák, PhD., Mgr. Jana Uramová, PhD.
Počet študentov: 2 - 4

Pri riadení informačnej bezpečnosti je možné všetky potrebné procesy a opatrenia rozdeliť do skupín, ktorých počet, a konkrétne znenie definujú rôzne štandardy (ITU, ISO, ...), zákony (Zákon o kybernetickej bezpečnosti platný v SR a rôzne vyhlášky), ako aj o špecifické frameworky výrobcov zaoberajúcich sa bezpečnostnými riešeniami.  

Bez ohľadu na to, ktorý štandard alebo zákon musí organizácia dodržiavať, je jedným z nutných opatrení, mať implementovaný systém pre riadenie rizík v informačnej bezpečnosti.  

Do toho spadá niekoľko podprocesov, vrátane: 

  1. identifikácie aktív (ľudia, biznis procesy, hardvér, softvér, informácie) a ich ohodnotenie,  

  2. identifikácie a hodnotenia zraniteľností daných aktív, identifikácia a hodnotenie hrozieb, ktoré tieto zraniteľnosti môžu využiť a spôsobiť incident 

  3. výpočtu celkových rizík pre dané aktíva s ich následným zmierňovaním (akceptácia, mitigácia, delegovanie rizika a pod.) 

 Ak sa tento proces rieši manuálnym spôsobom, bez akejkoľvek podpory špecifických softvérových nástrojov, väčšinou ide o spracovanie v textových a/alebo tabuľkových procesoroch, ktorých naplnenie a následné udržanie aktuálnosti je veľmi pracné. 

Našom snahou v tomto projekte bude integrovať procesy, ktoré sú pre proces manažmentu rizík potrebné, do informačného systému tak, aby sa dosiahla čo najvyššia miera automatizácie vo všetkých častiach, ktoré to umožňujú. 

Úlohy na projekte sa delia medzi riešiteľov podľa ich preferencií a dohody v tíme. Od riešiteľov tohto projektu sa očakáva: 

  1. vylepšiť a rozšíriť skripty pre zber aktív typu hardvér a softvér v sieťovej infraštruktúre, pričom na zber sa využíva SNMP, WMI, SSH, nmap a iné  

  2. navrhnúť riešenie pre reprezentáciu výsledkov zo skenov sieťovej infraštruktúry  
    (návrh klient/server modelu, výber vhodných technológií, návrh UI, rozšírenie funkcionality ) 

  3. dopracovať mapovanie zraniteľností a hrozieb na zozbierané aktíva z dostupných databáz (MOSP, OWASP, a iné) 

  4. zapracovať do systému kvalitatívne hodnotenie aktív, zraniteľností a hrozieb 

  5. navrhnúť spôsob riešenia pre kvantitatívne hodnotenie hrozieb, t.j. na základe zozbieraných dát, pomocou nasadených nástrojov a ich integrácie do SIEM systému 

  6. Zapracovať do systému možnosti pre ošetrenie rizík (akceptácia, mitigácia, delegovanie rizika a iné) 

Študenti v tomto projekte nezačínajú na zelenej lúke, ale budú nadväzovať na prácu študentov z predchádzajúcich rokov, a majú z čoho čerpať informácie pre analýzu súčasného stavu. Zároveň je možné vidieť s akými témami diplomových prác končili študenti v minulosti, ako rozšírenie výsledkov ich aktivít na projekte 1, 2, a 3:

  •  2021/22

  1. Štefan Čulík BP - Prehľadová analýza dostupných nástrojov pre mapovanie prepojení a vizualizáciu zariadení v sieti 

    2022/23:

  2. Dominik Bočko DP - Automatický zber informačných aktív zo sieťovej infraštruktúry pre podporu informačnej bezpečnosti. 

  3. Marek Ploštica DP - Mapovanie vzťahov sieťových entít na základe zberu údajov zo siete

  4. Michal Macko DP - Integrácia dostupných databáz hrozieb a zraniteľností v procese manažmentu rizík informačnej bezpečnosti 

  5. Bruno Dvořák BP - Mapovanie prepojení sieťových zariadení, vizualizácia topologických máp a zber informácií o zariadeniach

  6. Roman Helis BP - Porovnávacia analýza dostupných techník a nástrojov automatizovaného zhromažďovania informácií zo siete

  7. Peter Čerešna BPAnalýza možností využitia hypervízorov pre potreby zberu informácií zo siete 

  8. Peter Otruba BPTvorba skriptov pre automatické získavanie informácií zo siete

    2023/24:

  9. Štefan Čulík DP - Vylepšenie vizualizácie sieťových zariadení v topologických mapách

  10. Norbert Kmeť BP - Analýza dostupných metód získavania informácií o medziľahlých zariadeniach a koncových staniciach v sieti - WINDOWS 

  11. Marcel Čuchran BP - Analýza dostupných metód získavania informácií o medziľahlých zariadeniach a koncových staniciach v sieti - LINUX

    2024/25:

  12. Bruno Dvořák DP - Pokročilé vykresľovanie topologických máp siete rozšírením nástroja LibreNMS

  13. Roman Ďurajka DP - Implementácia riadenia rizík do IS s využitím automatizácie

Mám záujem o projekt
0
študentov
0
učiteľov
0
partnerov

Partneri FRI

Platinový partner

Brain:IT

Hlavný partner

Kros
Siemens Healthlineers

Partneri

Descartes
DXC
Fuergy
Scheidt and Bachmann
Technia
Slovanet
Softec
Unicorn
Unicorn
Siemens mobility

Projekty a centrá FRI

Projekty

Inteligentné operačné a spracovateľské systémy pre UAV
Transdata
IT akadémia
Centre in Advanced Biomedical and Medical Informatics
SUMOs
OOP4Fun

Centrá

Cisco Network Academy
PEARSON VUE - Aturizované centrum