Projekt implementace ISMS

Transkript

1 ISMS { Information Security Management System Projekt implementace ISMS PV 017 Bezpecnost IT Jan Staudek Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 018 Syst em proces u, metodicky vypracovan y a udrzovan y a certikovateln y) zajist'ujcch r adn e prosazov an informacn bezpecnosti v organizaci, typicky a zejm ena v oblastech Rzen (zvl ad an) rizik souvisejcch s informacn bezpecnost Organizacn zajisten informacn bezpecnosti Zaveden a prosazov an bezpecnostn politiky a pl anu zvl ad an rizik zajist'ujcch d uvernost, integritu a dostupnost informacnch aktiv Spr ava informacnch aktiv, evidence, klasikace,... Bezpecnost lidsk ych zdroj u Fyzick a a are alov a bezpecnost Rzen komunikac Provoz informacnch syst em u Rzen prstupu k informacnm aktiv um Porizov an, v yvoj a udrzba informacnch syst em u Reakce na utoky na informacn bezpecnost Zachov an kontinuity cinnosti organizace po utoku na InSec Dosahov an souladu s pr avnmi a smluvnmi z avazky Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 1 Projekt zaveden, implementace ISMS F aze zak azky projekt implementace ISMS ISO/IEC 7003 : 010 Information technology Security techniques Information security management system implementation guidance N avod k implementaci ISMS { jak zah ajit, napl anovat a denovat projekt zav adejc ISMS formou zak azky resen e organizac clen e { na zaveden ISMS a { na integraci ISMS mezi ostatn podnikatelsk e (byznys) procesy organizace ZAH AJENI PROJEKTU IMPLEMENTACE ISMS 1. Zsk an souhlasu veden organizace s projektem implementace ISMS. Denov an oblasti p usobnosti ISMS a politiky ISMS P RIPRAVA IMPLEMENTACE ISMS 3. Anal yza pozadavk u organizace na informacn bezpecnost 4. Ohodnocen rizik a vypracov an pl anu zvl adnut rizik N AVRH ISMS 5. N avrh a implementace ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 3

2 Nejprve k metod am rzen realizacnho projektu obecn e N avrh, implementace a zaveden ISMS je projekt Co je to projekt { obecn a charakteristika jedinecn a soustava cinnost smerujcch k predem stanoven emu a jasne denovan emu cli, kter a m a urcen y zac atek a konec, kter a vyzaduje spolupr aci r uzn ych profes, v aze jejich kapacity a jejich usil a vyuzv a (prpadne spotrebov av a) pro vytvoren clov ych v ystup u { informace, { materi al, { penze, { schopnosti a dovednosti z ucastnen ych lid Metodologie n avrhu a implementace ISMS Projekt vzdy zam estn av a skupinu lid a ovliv nuje jin e skupiny lid. Projekt je vzdy spojen s rizikem ne usp echu, ponevadz je jedinecn y a nikdy zcela presne nevme, co n as v pr ubehu jeho realizace cek a nebo zaskoc. Abychom vsak mohli projekt rdit k usp echu, musme mt nejak y sc en ar ci osnovu. Tmto jsou pl any projektu. Prklady pl anovan ych ukol u urcen zp usobu rzen projektu (waterfall, agiln prstup,... ) urcen zp usobu zajisten integrace r uzn ych rdicch syst em u, identikace klcov ych odpovednost, identikace pozadovan ych zdroj u v pr ubehu zivotnho cyklu projektu, rozhodnut o vyuzv an konzultant u,...,... Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 4 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 5 Metodologie n avrhu a implementace ISMS Metody rzen realizacnho projektu Usp ech projektu tedy znamen a spln en cle ve trech dimenzch: vecne (CO, JAK, a V JAK E KVALIT E se m a udelat), casove (KDY m a b yt co provedeno { etapy/f aze, kroky, ukony) a n akladove (ZA KOLIK se to m a udelat, nejprve ve spotrebovan e pr aci a pak v penezch). Tento trojimperativ projektu v podstat e odpovd a tomu, jak je v obchodnm z akonku vymezena smlouva o dlo. Každá smlouva o dílo musí obsahovat specifikaci plnění (CO A JAK, V JAKÉ KVALITĚ), termíny (KDY) a cenu (ZA KOLIK), aby to smlouva o dílo byla Standard ISO/IEC 7001 p uvodn e direktivn e predpisoval pouzt pro projekt implementace ISMS procesn prstup podle metodologie PDCA PDCA, Plan Do-Check-Act, pl anuj, udelej, zkontroluj, jednej tak e Deming uv cyklus nebo PDCA cyklus metoda postupn eho zlepsov an naprklad kvality v yrobk u, sluzeb, proces u, aplikac, dat, probhajc formou opakovan eho prov aden ctyr zmnen ych cinnost. Deatily viz naprhttp://mostechinformationsite.blogspot.cz/014/10/pdcacycle-of- quality-management-basic.html Dals aplikovateln e metody rzen COBIT, ITIL, Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 6 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 7

3 Model PDCA, Plan Do-Check-Act PDCA cyklus v yvoje ISMS Model PDCA je siroce uplat novan y v podnik an, v rzen kvality,... ISMS mus b yt mj. integrovan y s rdicmi syst emy napr. pro { rzen kvality (dle standardu ISO 9001) a { pro udrzov an zivotnho prostred ( ISO 14001) Tyto rdic syst emy rovn ez pouzvaj model PDCA a tudz je pouzit modelu PDCA pro projekt ISMS uprednost nov ano Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 8 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 9 PDCA { f aze PDCA { f aze PLAN (zrzen ISMS) Denice oblasti ISMS Denice politiky informacn bezpecnosti Denice systematick eho prstupu k ohodnocov an rizik Vypracov an procedur rescch ohodnocen rizik a proveden ohodnocen rizik cl { v kontextu politiky a oblasti ISMS identikovat d ulezit a informacn aktiva a rizika, kter ym jsou tato aktiva vystavena Identikace a vyhodnocen moznost jak zvl adat rizika V yber cl u ochran a implementovateln ych opatren pro kazdou moznost Vypracov an Prohl asen o aplikovatelnosti vybran ych opatren (pokryt e bezpecnostn cle a vlastnosti vybran ych opatren) DO (implementace ISMS) Formulace pl anu zvl ad an rizik, vytvoren jeho dokumentace { syst emov a, detailn, bezpecnostn politika { denice proces u a procedur plncch bezpecnostn opatren Implementace vsech opatren urcen ych v pl anu zvl ad an rizik Implementace procedur (opatren) umoz nujcch promptn detekci bezpecnostnch incident u a reakce na ne Zaskolen relevantnch zamestnanc u, denice programu systematick e v ychovy k bezpecnostnmu uvedomen Zajisten zdroj u a operac pro v ykon cinnost ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 10 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 11

4 PDCA { f aze Uk azka aplikace PDCA cyklu na procesy rzen rizik CHECK (sledov an a posuzov an v ykon u provozovan eho ISMS) monitorov an, ohodnocov an, testov an, audit cinnost rzen ych ISMS vytv aren d ukaz u, shromazd'ov an v ysledk u monitorov an,... posuzov an a tam kde to jde i meren, v ykon u proces u proti bezpecnostn politice, cl um a praktick ym zkusenostem generov an zpr av pro posouzen managementem meren ucinnosti syst emu rzen a opatren, kter a jej implementuj ACT ( udrzba a vylepsen ISMS) Proveden oprav a zmen na z aklade v ysledk u posouzen managementem Identikace, dokumentace a implementace vylepsen ISMS Detailnejs pozn amky k PDCA cyklu viz Dodatek l t eto predn asky Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 1 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 13 Demonstrace cle a z avazku managementem ISO 7001 pozaduje, aby management organizace demonstroval, ze implementaci ISMS rad mezi sv e cle, a m a v uli ISMS implementovat, coz dokazuj kroky: Stanoven politiky ISMS a cl u informacn bezpecnosti, kter e mus b yt kompatibiln s orientac podnikatelsk e strategie organizace Zajisten integrace ISMS mezi ostatn procesy organizace Zajisten dostupnosti zdroj u vyzadovan ych pro ISMS Probehlo sezn amen organizace s d ulezitost rzen InSec Zajist'ov an, aby ISMS dos ahl zam yslen ych v ysledk u stanoven ych politikou a cli informacn bezpecnosti Veden a podpora perzon alu k prispv an k ucinnosti ISMS Prosazov an kontinu alnho vylepsov an ISMS Podporov an manazersk ych rol Projekcn t ym, rdic v ybor Pro n avrh a implementaci by m el nejvyss management ustanovit projekcn t ym a/nebo rdic v ybor T ym by mel v est clen strednho ci nizsho managementu s dels prax Nen vhodn y IT manazer, ti maj z pohledu podnik an nizs kredibilitu T ym by mel sest avat jak z klcov ych byznys manazer u, tak i z technick ych expert u na InSec a na IT Experty na InSec a na IT lze zajistit i smluvne, pak je ale nutn e uplatnit odpovdajc opatren pro bezpecnou participaci tretch stran (NDA,... ) Vce dopl nujcch pozn amek k pr aci t ymu viz Dodatek t eto predn asky Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 14 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 15

5 Zahajen projektu, d lc faze Cestovn mapa PDCA cyklu ISMS Uv edom en pot reby ISMS X Vysv etlovan p redev s m vy ss m mana zerum pro c je ISMS pot rebny a co se j m rozum, co ovlivn X Nasazen ISMS je podnikatelsky projekt nikoli technicky projekt X Pokud nebude m t podporu veden spole cnosti, vy ss ho managementu a relevantn ch mana zeru, padne Z skan odbornych zku senost X dukladn a vychova a trening dovednost a znalost c lenu tymu Vymezen prostoru X ur cen hranic pusobnosti ISMS Formulovan politiky X vyvoj a odsouhlasen politiky informa cn bezpe cnosti organizace X tato politika vymezuje orientaci ISMS v kontextu podnikatelskych c lu Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 16 PV017 { Projekt implementace ISMS 17 Faze projektu implementace ISMS Zdroje informac pro tvorbu politiky informacn bezpecnosti Jan Staudek, FI MU Brno Zdroje navod u k postupu budovan politiky informa cn bezpe cnosti a ISMS v prost red IS ITIL { IT Governance Zdroj navod u k postupu budovan politiky informa cn bezpe cnosti X X Your Window To Information Security Policies and Disaster Recovery Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 18 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 19

6 Dlc kroky f az projektu implementace ISMS 1. Zsk an souhlasu veden organizace pro zah ajen implem. ISMS 1.1 Objasn en priorit organizace pro projekt ISMS 1. Predb ezn a denice oblasti p usobnosti ISMS 1.3 Vytvoren zak azky a pl anu projektu implementace ISMS pro odsouhlasen vedenm organizace. Denov an oblasti p usobnosti ISMS a politiky ISMS.1 Denov an oblasti a hranic inf. bezpecnosti v organizaci. Denov an oblasti a hranic informacnch a komunikacnch technologi (ICT).3 Denov an fyzick e oblasti a hranic.4 Integrace vsech oblast a hranic do oblasti a hranic ISMS.5 V yvoj politiky ISMS a zsk an souhlasu od veden Dlc kroky f az projektu implementace ISMS 3. Anal yza pozadavk u organizace na informacn bezpecnost 3.1 Denov an pozadavk u organizace na inf. bezpecnost 3. Identikace aktiv v oblasti p usobnosti ISMS 3.3 Ohodnocen informacn bezpecnosti 4. Ohodnocen rizik a vypracov an pl anu zvl adnut rizik 4.1 Ohodnocen rizik 4. V yber cl u opatren a opatren { Prohl asen o aplikovatelnosti 4.3 Zsk an souhlasu veden organizace s implementac a provozov anm ISMS, vypracov an pl anu zvl adnut rizik Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 0 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 1 5. N avrh ISMS Dlc kroky f az projektu implementace ISMS 5.1 N avrh informacn bezpecnosti v organizaci 5. N avrh fyzick e a ICT informacn bezpecnosti 5.3 N avrh informacn bezpecnosti specick e pro ISMS 5.4 Vytvoren n alnho pl anu projektu ISMS Detailn popisy dlcch krok u vsech p eti f az obsahuje Dodatek (Projekt) t eto predn asky Role dokumentace ISMS Procesy v organizaci opakovateln e, odoln e v uci ztr at e znalost napr. po v ypovedi nekter eho zamestnance, mus b yt dokumentovan e Opakovateln e procesy jsou pak konzistentnejs a vce predvdateln e Ucinnost kazd eho syst emu rzen z avis na patricn e, korektn dokumentaci jeho proces u a na archivu z aznam u demonstrujcch jeho nedostatky ISO 7001 pozaduje dostupnost dokumentace jak kazd eho bezpecnostnho opatren ISMS a tak i relevantnho ISMS Dobre fungujc ISMS je pln e dokumentovan y Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 3

7 Role dokumentace ISMS Tvorba dokumentace ISMS je casov e nejn arocn ejs c ast projektu Dokumentace ISMS mus b yt upln a, vycerp avajc v souladu s pozadavky standardu ISO 7001 ve forme odpovdajc remnmu stylu a kulture Dokumentace mus b yt dostupn a a pouziteln a a adekv atne chr anen a Pozadavky na dokumentaci ISMS Organizace mus mt syst em rzen dokumentace urcujc jak se informace distribuuj, zprstup nuj, zsk avaj a pouzvaj jak mus b yt informace uchov avan e a chr anen e, vc. udrzen citelnosti zmenov e rzen v dokumentaci pravidla skladov an a likvidace dokumentace zp usob identikace a spr avy dokument u chr anen ych autorsk ymi pr avy zp usob identikace a zach azen s informacemi podle jejich klasikacn urovne z hlediska d uvernosti zp usob zach azen s informacemi perzonalistick eho charakteru Jsou dostupn e syst emy pro rzen dokumentov ych z akladen ISMS obsahujc predpripraven e sablony,... isms-documentation-toolkit.aspx toolkit/ Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 4 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 5 Dokumentace ISMS 4-vrstv a struktura dokumentov e z akladny ISMS Minim aln skladba dokument u ISMS dle ISO 7001 je politika informacn bezpecnosti, denice oblasti ISMS, v ysledky hodnocen rizik, cle rzen, prohl asen o aplikovatelnosti d ukazy akc proveden ych organizac a vedenm pri specikaci oblasti (z apis z jedn an veden) popis rdic struktury projektu ISMS (rdic v ybor apod.) v n avaznosti na organizacn sch ema organizace pl an zvl ad an rizik a podp urn e dokumentovan e procedury (odpovednosti, pozadovan e akce) implementujc kazd e opatren { procedura: kdo m a co, jak, kdy, z jak ych podmnek udelat procedury (odpovednosti, pozadovan e akce) rzen a inspekce ISMS Posledn dv e komponenty tvor manu al politiky ISMS mus b yt dostupn y vsem zamestnanc um, elektronicky, tiskem mus b yt strukturovane cslovan y, s udrzov anm reviz,... podrobneji se Manu alu ISMS venuje Dodatek 3 t eto predn asky Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 6 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 7

8 4-vrstv a struktura dokumentov e z akladny ISMS Autorizacn urovn e dokumentace 1. urove n { vrcholov y management, Board of Directors. urove n { CSO (Chief Security Ocer), spr avce bezpecnosti po projedn an s rdicm v yborem informacn bezpecnosti 3. urove n { CISO (Chief Information Security Ocer), spr avce informacn bezpecnosti + sefov e oddelen/odbor u organizace 4. urove n { CISO (Chief Information Security Ocer), spr avce informacn bezpecnosti + sefov e oddelen/odbor u organizace 4-vrstv a struktura dokumentov e z akladny ISMS 1. vrstva { Politiky Nastaven politik { strategick e pomerne rdce menen e dokumenty na vysok e urovni abstrakce, stanoven princip u Dokumenty autorizovan e nejvyssm managementem autorizace = demonstrace odpovednosti nejvyssho veden za politiky Prklady dokument u 1. urovne { vymezen zabezpecovan e oblasti, { politika informacn bezpecnosti, { pl an resen proces u PDCA pri v yvoji ISMS { v ysledek hodnocen rizik, { prohl asen o aplikovatelnosti, { pl an zvl ad an rizik, { manu al ISMS {... Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 8 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 9 4-vrstv a struktura dokumentov e z akladny ISMS. vrstva { Procedury popis procedur pro implementaci politik, nastaven podnikatelsk ych pozadavk u, procedur a proces u Dokumenty autorizovan e v ykonn ym managementem, konkr etne temi, kter jsou odpovedn za prosazov an politik v konkr etnch oblastech podnik an, a CSO (Chief Security Ocer), spr avcem bezpecnosti, vzdy vsak po projedn an s rdicm v yborem informacn bezpecnosti prklad: politika rzen prstupu si vyz ad a procedury: { spr ava uzivatel u (User Management): zrizov an uct u,... { pridelov an prstupov ych pr av... procedury se mohou menit v pr ubehu roku tak, aby reagovaly na konkr etn podnikatelsk e podmnky a pozadavky, zmeny se sm vsak odehr avat pouze v mezch stanoven ych politikami schv alen ymi nejvyssm managementem 4-vrstv a struktura dokumentov e z akladny ISMS 3. vrstva { Pracovn instrukce Uplat nov an politik pri konkr etnch cinnostech organizace, instrukce pro prov aden konkr etnch ukol u zamestnanci, vc. meren ucinnosti opatren, v organizaci, v jednotliv ych oddelench dokumenty typu smlouva s uzivatelem, popis pr ace, apod. (napr. jak postupovat pri uzavr an dohody se vzd alene pracujcm zamestnancem) jsou vytv aren e vlastnky podnikatelsk ych aktiv/proces u, autorizovan e jejich prm ymi nadrzen ymi a spr avcem informacn bezpecnosti, CISO (Chief Information Security Ocer) jsou pravidelne prezkoumavan e a vylepsovan e, men se pomerne casto, tak jak se men pracovn metody (ISMS se pr ubezne vylepsuje), prpadne tak jak se identikuj rizika (preventivn akce) nebo selh avaj opatren (opravn e akce) zmeny v pracovnch instrukcch se sm vsak odehr avat pouze v mezch stanoven ych procedurami, kter e implementuj Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 30 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 31

9 4. vrstva Zpr avy 4-vrstv a struktura dokumentov e z akladny ISMS zpr avy o tom, co se stalo, jak ISMS bezel z apisy, logy, z aznamy o incidentech,..., v ysledky audit u z f aze CHECK..., formul are, sablony pro tyto dokumenty Z akladn dokumenty ISMS Celkov a politika informacn bezpecnosti oblasti organizace denuje { zabezpecovanou oblast organizace, { se rozum bezpecnost informac, { komponenty a ucel ISMS a { faktory ovliv nujc rzen cinnosti orgranizace plynouc z denovan eho a systematick eho prstupu k informacn bezpecnosti je vypracovan a na vysok e urovni abstrakce je odsouhlasen a vrcholov ym managementem organizace jej vypracov an vyzaduje ISO 700 ISO 7001 vyzaduje politiku ISMS obe politiky se mohou dopl novat, nahrazovat, z adn a nen implicitne nadrazen a druh e Typovou strukturu politiky ISMS uv ad Doplnek 4 t eto predn asky Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 3 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 33 Z akladn dokumenty ISMS Pl an zvl ad an rizik organizace tak e { syst emov a politika informacn bezpecnosti tak e { syst emov a politika informacn bezpecnosti syst emu XYZ popis jak mus b yt zvl adan a rizika z pohledu informacn bezpecnosti v konkr etne denovan e oblasti ISMS d ale obsahuje dokumenty { Z oblasti spr avy informacn bezpecnosti Soupis citliv ych informacnch aktiv v oblasti (data, informacn syst emy) Hodnocen zranitelnost, hrozeb a rizik pro tato aktiva Manu al ISMS obsahujc Prohl asen o aplikovatelnosti identikace opatren { funkc prosazujc bezpecnost { odpovdajcch zvl adan ym rizik um { Z oblasti n astroj u pro pln en spr avy informacn bezpecnosti Upln a, vz ajemn e souvisejc sestava popis u proces u, politik, procedur a n avod u k cinnostem zajist'ujc informacn bezpecnost v oblasti Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 34 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 35

10 Typick a dokumentov a z akladna ISMS, systematizace Dokumenty tvorc Manu al ISMS Politika informacn bezpecnosti, denice oblasti pokryt e ISMS, metodologie ohodnocov an rizik, v ystup procesu ohodnocen rizik, prohl asen o aplikovatelnosti, klasikacn sch ema informac, procedury podporujc ISMS,... { detaily viz doplnek predn asky Manu al je dostupn y vsem zamestnanc um v tisten e a/nebo v elektronick e forme Zamestnanci maj b yt skolen podle manu alu ISMS D ukazy akc proveden ych organizac a jejm vedenm pri specikaci oblasti ISMS z apisy ze sch uz veden, zpr avy specialist u,... Popis syst emu rzen informacn bezpecnosti rdc v ybor, CISO,... syst emu rzen by mel odpovdat organizacnmu sch ematu organizace Typick a dokumentov a z akladna ISMS, systematizace Pl an zvl ad an rizik, syst emov a bezpecnostn politika odpovednosti a pozadovan e akce vc. podp urn ych dokumentovan ych procedur implementujcch stanoven a opatren { kdo m a co delat, za jak ych podmnek, kdy, jak { typicky jedna procedura / kazd e implementovan e opatren { detailn popisy pracovnch postup u identikovan e v manu alu ISMS, s autorizacemi vypracovan y obvykle na detailnejs urovni nez manu al ISMS typicky d uvern y dokument s omezenou dostupnost pro role urcen e v ISMS v souladu s klasikacnm sch ematem urcen ym politikou Procedury rdc spr avu a inspekci ISMS odpovednosti a pozadovan e akce souc ast manu alu ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 36 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 37 Typick a dokumentov a z akladna ISMS, systematizace Jak vytv aret dokumentaci ISMS? Pracovn instrukce detailn popisy krok u plncch ukoly predesan e procedurami Formul are, sablony, zpr avy o auditech,... vc. z aznam u o efektivnosti ISMS pro ucely internch audit u a prezkoum av an managementem Metoda pokus u a omyl u, prvn tvorba, pouze vlastnmi silami Typicky potrebn a doba: 14 { 19 mesc u { porozumen pozadavk um: 1 mesc { pl anov an:1 mesc { vypracov an politiky informacn bezpecnosti: 1 mesc { vypracov an prohl asen o aplikovatelnost: mesce { vypracov an procedur: 4 { 6 mesc u { vypracov an pracovnch instrukc: 5 { 9 mesc u Kritika { velk a casov a n arocnost, absence znalosti nejlepsch postup u { projekt pravdepodobne selze dky nezkusen emu veden Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 38 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 39

11 Jak vytv aret dokumentaci ISMS? Extern spolupr ace, dokumenty vypracuj extern konzultanti Typicky potrebn a doba: 10 { 14 mesc u { porozumen pozadavk um: 1 t yden { pl anov an:1 t yden { vypracov an politiky informacn bezpecnosti: 1 mesc { vypracov an prohl asen o aplikovatelnost: mesce { vypracov an procedur: 3 { 5 mesc u { vypracov an pracovnch instrukc: 4 { 6 mesc u Prnosy { rychl e resen, dostupnost znalosti nejlepsch postup u { projekt pravdepodobne neselze dky zkusen emu veden Kritika { vysok e n aklady { obtzne resiteln e pr ubezn e vylepsov an ISMS (Cyklus PDCA) Jak vytv aret dokumentaci ISMS? Pouzit n avod u a dokumentov eho n astroje pripraven eho tret stranou resen vlastnmi silami podle prototyp u prklady prototyp u: Typicky potrebn a doba: 4 { 7 mesc u { porozumen pozadavk um: 1 t yden { pl anov an:1 t yden { vypracov an politiky informacn bezpecnosti: { 4 t ydny { vypracov an prohl asen o aplikovatelnost: mesce { vypracov an procedur: 1 { mesce { vypracov an pracovnch instrukc: { 4 mesce Prnosy { rychl e resen, dostupnost znalosti nejlepsch postup u { n akladove efektivn resen { projekt pravdepodobne neselze dky postupu podle norem { snadneji resiteln e pr ubezn e vylepsov an ISMS (Cyklus PDCA) Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 40 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 41 Testov an Proc se testuje ISMS? Funguj procedury rzen tak jak bylo zam ysleno? Funguj bezpecnostn opatren tak jak bylo zam ysleno? Typy test u d ukladn y audit (internm nebo externm) auditorem, zkoumaj se dokumentovan e procedury a demonstruje se jejich cinnost,,paprov e"testov an, logick e testov an opatren a procedur na z aklade znalosti zranitelnost, konstrukc opatren, projev u hrozeb,... re aln e testov an, penetracn testy, testy ztr aty energie,... rozs ahl e sc en arove orientovan e testy { testy pl anu zachov an cinnosti, Behem roku se m a testovat kazd y rys, vlastnost,... ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 4