Mendelova zemědělská a lesnická univerzita. Provozně ekonomická fakulta Ústav informatiky

Rozměr: px
Začít zobrazení ze stránky:

Download "Mendelova zemědělská a lesnická univerzita. Provozně ekonomická fakulta Ústav informatiky"

Transkript

1 Mendelova zemědělská a lesnická univerzita v Brně Provozně ekonomická fakulta Ústav informatiky Řešení informační bezpečnostní politiky v nekomerční organizaci. Diplomová práce Vedoucí práce: Ing. Ludmila Kunderová Vypracoval: Martin Jonášek Brno 2008

2 PROHLÁŠENÍ Prohlašuji, že jsem diplomovou práci na téma řešení informační bezpečnostní politiky v nekomerční organizaci. vypracoval samostatně a použil jen pramenů, které cituji a uvádím v přiloženém seznamu literatury. Diplomová práce je školním dílem a může být použita ke komerčním účelům jen se souhlasem vedoucího diplomové práce a děkana AF MZLU v Brně. dne podpis diplomanta Vedoucí práce: Ing. Ludmila Kunderová ii

3 PODĚKOVÁNÍ Na tomto místě bych rád poděkoval několika lidem, kteří mi pomáhali odbornou radou nebo s realizací této práce. Děkuji proto: Vedoucí mé diplomové práce Ing. Ludmile Kunderové za poskytnutí a pomoc výběru zdrojů k zpracování teoretické části práce. Kolegům z práce za pochopení a rady týkající se specifických softwarových programů, se kterými jsem nebyl tak do hloubky obeznámen. Vývojářům OpenOffice za možnost uložení dokumentu v DocBook formátu, na což jsem však přišel až po té, co jsem měl práci z 70% hotovu, včetně sedových skriptů pro konverzi tabulek z OOXML formátu do Docbooku. iii

4 SHRNUTÍ Cílem diplomové práce je obeznámit čtenáře s oblastí tvorby bezpečnostní politiky a s aktuálním stavem norem v této oblasti. Hlavní pozornost je věnována nejnovější normě ISO 27001, která je výsledkem snahy sjednotit množství dřívějších norem vznikajících v této oblasti. Aplikovat získané znalosti na příkladu z nekomerční sféry, která má jistá specifika. Postupy uvedené v teoretické části však platí i v oblasti komerční. Klíčová slova Bezpečnostní politika, Implementace, Analýza rizik, ISO 27001, ISMS iv

5 SHRNUTÍ Goal of this diploma thesis is make the readers convenient with problematics of creating security policies and present actual state of standards in this area with main focus on new standard ISO Use the given knowledge in some real case from non-bussiness area, which holds some specific approach. Steps how to create security policy descibed in theoretical part of thesis are valid in general. Klíčová slova Security policies, Implementation, Risk analysis, ISO 27001, ISMS v

6 OBSAH 1 Úvod Cíl a metodika práce Informační bezpečnost - Úvod do tématu Co je bezpečnost informací? Proč je nezbytná bezpečnost informací? Bezpečnostní prvky Aktiva Hrozby Zranitelnost Dopad Riziko Ochranná opatření Zbytkové riziko Omezení Jak stanovit bezpečnostní požadavky? Hodnocení bezpečnostních rizik Výběr ochranných opatření Cíle, strategie a politiky Bezpečnostní politika celé společnosti Bezpečnostní politika IT celé společnosti Bezpečnostní politika systémů IT Pojetí řízení bezpečnosti IT Systém řízení bezpečnosti informací Normy Model PCDA Plánuj (ustavení ISMS) Dělej (zavádění a provozování ISMS) Kontroluj (monitorování a přezkoumání ISMS) Jednej (udržování a zlepšování ISMS) Ustavení a řízení ISMS Ustavení ISMS Zavádění a provozování ISMS Monitorování a přezkoumání ISMS Udržování a zlepšování ISMS Požadavky na dokumentaci Všeobecně Řízeni dokumentů Řízení záznamů Odpovědnost vedení Závazek vedení Zajištění zdrojů Školení, informovanost a odborná způsobilost Interní audity ISMS vi

7 4.7 Přezkoumání ISMS vedením organizace Vstup pro přezkoumání Výstup z přezkoumání Zlepšování ISMS Neustálé zlepšování Opatření k nápravě Preventivní opatření Analýza rizik Typy analýzy rizik Elementární analýza rizik Neformální analýza rizik Podrobná analýza rizik Kombinovaný přístup Metody podrobné analýzy rizik Matice s předdefinovanými hodnotami Odhad hodnoty četnosti a možné změny rizik Rozlišení mezi riziky, které je možné a které není možné tolerovat Zařazení hrozeb podle míry rizika Analýza rizik využívající matice aktiv, hrozeb a zranitelností Softwarové nástroje CRAMM RA2 Art of risk PTA (Practical Threat Analysis) Bezpečnostní politika Bezpečnostní politika Bezpečnostní politika informací Dokument bezpečnostní politiky informací Přezkoumání bezpečnostní politiky informací Organizace bezpečnosti informací Interní organizace Závazek vedení směrem k bezpečnosti informací Koordinace bezpečnosti informací Přidělení odpovědností v oblasti bezpečnosti informací Schvalovací proces prostředků pro zpracování informací Dohody o ochraně důvěrných informací Kontakt s orgány veřejné správy Kontakt se zájmovými skupinami Nezávislá přezkoumání bezpečnosti informací Externí subjekty Identifikace rizik plynoucích z přístupu externích subjektů vii

8 Bezpečnostní požadavky pro přístup klientů Bezpečnostní požadavky v dohodách se třetí stranou Řízení aktiv Odpovědnost za aktiva Evidence aktiv Vlastnictví aktiv Přípustné použití aktiv Klasifikace informací Doporučení pro klasifikaci Označování a nakládání s informacemi Bezpečnost lidských zdrojů Před vznikem pracovního vztahu Role a odpovědnosti Prověřování Podmínky výkonu pracovní činnosti Během pracovního vztahu Odpovědnosti vedoucích zaměstnanců Informovanost, vzdělávání a školení v oblasti bezpečnosti informací Disciplinární řízení Ukončení nebo změna pracovního vztahu Odpovědnosti při ukončení pracovního vztahu Navrácení zapůjčených prostředků Odebrání přístupových práv Fyzická bezpečnost a bezpečnost prostředí Zabezpečené oblastí Fyzický bezpečnostní perimetr Fyzické kontroly vstupu osob Zabezpečení kanceláří, místností a prostředků Ochrana před hrozbami vnějšku a prostředí Práce v zabezpečených oblastech Veřejný přístup, prostory pro nakládku a vykládku Bezpečnost zařízení Umístění zařízení a jeho ochrana Podpůrná zařízení Bezpečnost kabelových rozvodů Údržba zařízení Bezpečnost zařízení mimo prostory organizace Bezpečná likvidace nebo opakované použití zařízení Přemístění majetku Řízení komunikací a řízení provozu Provozní postupy a odpovědností Dokumentace provozních postupů Řízení změn viii

9 Oddělení povinností Oddělení vývoje, testování a provozu Řízení dodávek služeb poskytovaných třetími stranami Dodávky služeb Monitorování a přezkoumávání služeb třetích stran Řízení změn služeb poskytovaných třetími stranami Plánování a přejímáni systémů Řízení kapacit Přejímání systémů Ochrana proti škodlivým programům a mobilním kódům Opatření na ochranu proti škodlivým programům Opatření na ochranu proti mobilním kódům Zálohování Zálohování informací Správa bezpečností sítě Sít ová opatření Bezpečnost sít ových služeb Bezpečnost při zacházení s médii Správa výměnných počítačových médií Likvidace médií Postupy pro manipulaci s informacemi Bezpečnost systémové dokumentace Výměna informací Postupy a politiky při výměně informací Dohody o výměně informací a programů Bezpečnost médií při přepravě Elektronické zasílání zpráv Informační systémy organizace Služby elektronického obchodu Elektronický obchod On-line transakce Veřejně přístupné informace Monitorování Pořizování auditních záznamů Monitorování používání systému Ochrana vytvořených záznamů Administrátorský a operátorský deník Záznam selhání Synchronizace hodin Řízení přístupu Požadavky na řízení přístupu Politika řízení přístupu Řízeni přístupu uživatelů Registrace uživatele ix

10 Řízení privilegovaného přístupu Správa uživatelských hesel Přezkoumání přístupových práv uživatelů Odpovědnosti uživatelů Používání hesel Neobsluhovaná uživatelská zařízení Zásada prázdného stolu a prázdné obrazovky monitoru Řízení přístupu k síti Politika užívání sít ových služeb Autentizace uživatele pro externí připojení Identifikace zařízení v sítích Ochrana portů pro vzdálenou diagnostiku a konfiguraci Princip oddělení v sítích Řízení sít ových spojení Řízení směrování sítě Řízení přístupu k operačnímu systému Bezpečné postupy přihlášení Identifikace a autentizace uživatelů Systém správy hesel Použití systémových nástrojů Časové omezení relace Časové omezení spojení Řízení přístupu k aplikacím a informacím Omezení přístupu k informacím Oddělení citlivých systémů Mobilní výpočetní zařízení a práce na dálku Mobilní výpočetní zařízení a sdělovací technika Práce na dálku Akvizice, vývoj a údržba informačních systémů Bezpečnostní požadavky informačních systémů Analýza a specifikace bezpečnostních požadavků Správné zpracování v aplikacích Validace vstupních dat Kontrola vnitřního zpracování Integrita zpráv Validace výstupních dat Kryptografická opatření Politika pro použití kryptografických opatření Správa klíčů Bezpečnost systémových souborů Správa provozního programového vybavení Ochrana systémových testovacích údajů x

11 Řízení přístupu ke knihovně zdrojových kódů Bezpečnost procesů vývoje a podpory Postupy řízení změn Technické přezkoumání aplikací po změnách operačního systému Omezení změn programových balíků Únik informací Programové vybavení vyvíjené externím dodavatelem Řízení technických zranitelností Řízení, správa a kontrola technických zranitelností Zvládání bezpečnostních incidentů Hlášení bezpečnostních událostí a slabin Hlášení bezpečnostních událostí Hlášení bezpečnostních slabin Zvládání bezpečnostních incidentů a kroky k nápravě Odpovědnosti a postupy Ponaučení z bezpečnostních incidentů Shromažd ování důkazů Řízení kontinuity činností organizace Aspekty řízeni kontinuity činnosti organizace z hlediska bezpečnosti informací Zahrnutí bezpečnosti informací do procesu řízení kontinuity činností organizace Kontinuita činností organizace a hodnocení rizik Vytváření a implementace plánů kontinuity Systém plánování kontinuity činností organizace Testování, udržování a přezkoumávání plánů kontinuity Soulad s požadavky Soulad s právními normami Identifikace odpovídajících předpisů Ochrana duševního vlastnictví Ochrana záznamů organizace Ochrana dat a soukromí osobních informací Prevence zneužití prostředků pro zpracování informací Regulace kryptografických opatření Soulad s bezpečnostními politikami, normami a technická shoda Shoda s bezpečnostními politikami a normami Kontrola technické shody Hlediska auditu informačních systémů Opatření k auditu informačních systémů xi

12 Ochrana nástrojů pro audit informačních systémů 62 7 Implementace bezpečnostní politiky a standardů Monitoring a audit IS Rozsah Organizační zajištění monitoringu Prostředky k monitorování bezpečnosti Interní a externí audit Návrh bezpečnostní politiky pro občanské sdružení Hnutí DUHA Popis občanského sdružení Hnutí DUHA Provoz a správa výpočetních systému Servery Lokální pracovní stanice Přenosné počítače Sít ová architektura Hnutí DUHA Sít ové prvky Tisk a kopírování Analýza rizik v Hnutí DUHA Pravděpodobnost výskytu hrozeb Ohodnocení aktiv Aktiva organizace Osobní údaje dárců Osobní údaje dobrovolníků Osobní údaje zaměstnanců Hesla pro přístup ke stanici Kontakty na osoby Interní dokumenty Licencovaný software Hardware Ekonomická data Heslo pro přístup k intranetu Uživatelská data chráněná PGP šifrováním Uživatelská data ostatní Autorská práva Výsledky a doporučení k implementaci Klasifikace a řízení informačních aktiv Organizace bezpečnosti Řízení přístupu Řízení kontinuity činností Výsledky analýzy rizik Závěr Literatura Rejstřík A Návrh bezpečnostní politiky Hnutí DUHA xii

13 PŘEDMLUVA Žijeme ve světě, který se velmi rychle vyvíjí a mění. Vstoupili jsme do věku informačních technologií, které vytváříme a ony zpětně přetváří náš svět. Dnes už si stěží dokážeme představit podnik střední velikosti bez informačního systému a informační technologie začínají být nezbytné i v malých podnicích a firmách. Informační technologie se stávají podstatnou součástí našich životů a správný chod většiny moderních firem je přímo závislý na spolehlivém fungování těchto systémů. Jsou-li tedy informační technologie esenciální součástí našeho podnikání, je nutné je také adekvátně chránit. Bohužel nežijeme ve světě, kde by se měli všichni rádi a chovali se k sobě s úctou, ale spíše ve světě neustálé konkurence, kde se ostatní snaží získat nad druhými konkurenční výhodu legální a často i nelegální cestou. Rozvoj informačních technologií a naše narůstající závislost na nich generuje množství nových hrozeb, kterým jsme nuceni čelit. Viry, červi, trojští koně, rootkity, spam, rhybaření, hacking a DOS útoky jsou nejběžnější hrozby, kterým musí organizace používající informační technologie každodenně čelit. Obranou proti těmto hrozbám je nasazení adekvátních bezpečnostních mechanismů. Bezpečnostní mechanismy něco stojí a je rozumné výběr a nasazení těchto mechanismů plánovat a řídit. K efektivnímu řízení implementace bezpečnostních mechanismů slouží tzv. Bezpečnostní politika. Navíc soulad se zákonnými požadavky, např ochrana osobních informací, tlačí k zavádění bezpečnostních politik i mnohé nekomerční organizace. 1

14 KAPITOLA 1 ÚVOD Vitální závislost na informačních technologiích a jejich neustálí rozvoj nutí organizace ke stále větším výdajům na správu informační bezpečnosti. Přitom se často stává, že tyto prostředky bývají vynaloženy velmi neefektivně. Je třeba si uvědomit, že bezpečnost informací je součástí celkové bezpečnostní politiky organizace a její efektivní správa je neustálý proces ISMS (Information Security Management System) definovaný v ISO [4]. Bezpečnostní politika je soubor pevně stanovených pravidel, která slouží k zajištění ochrany majetku, pověsti a předmětu činnosti organizace. Správně nastavená bezpečnostní politika je výchozím dokumentem k efektivní správě informační bezpečnosti. Vytvoření efektivní bezpečnostní politiky by měla předcházet analýza rizik, pomocí jíž organizace identifikuje aktiva, která je nutno chránit a také hrozby a zranitelnosti, kterým jsou tato aktiva vystavena. Po správném ohodnocení aktiv a vyhodnocení rizik, která těmto aktivům hrozí, je organizace schopna nasadit adekvátní opatření, která slouží k eliminaci a minimalizaci zjištěných rizik. Vytvoření a implementace bezpečnostní politiky není zárukou úspěchu v oblasti zajištění bezpečnosti organizace. Je nutné také aktivní prosazování těchto pravidel. Ani nejlepší bezpečnostní politika nezaručuje, že nenastane incident, který může i vážně ohrozit chod organizace, ale minimalizuje pravděpodobnost, že se incident objeví a jeho případné následky. 2

15 KAPITOLA 2 CÍL A METODIKA PRÁCE Cílem diplomové práce je seznámit čtenáře se základem bezpečnosti informačních systémů a vytvořit šablonu, která by měla pomoci pracovníkům v oblasti IT bezpečnosti při zavádění bezpečnostní politiky do různých typů organizací z komerční i nekomerční sféry. K dobrému pochopení problematiky je třeba být důvěrně seznámen se základními pojmy informační bezpečnosti, čemuž je věnována úvodní část práce. Dílčími cíli práce je vytvoření návrhů dokumentů bezpečnostních politik pro komerční a nekomerční organizaci po provedení a vyhodnocení analýzy rizik v těchto organizacích. A následné srovnání rozdílů v požadavcích a potřebách těchto organizací na informační bezpečnost. Při tvorbě jednotlivých pasáží práce a tvorbě samotného návrhu řešení čerpal autor z odborné literatury, zejména z ustanovení norem týkající se informační bezpečnosti ČSN ISO 13335, ISO 17799, ISO a dalších relevantních zdrojů. Tato práce byla připravena ve formátu XML s využitím DTD DocBook. Závěrečná sazba byla provedena typografickým systémem L A TEX ve stylu fithesis z písma Computer Modern ve variantě CS-font pomocí modulu xslt2, viz. Návod k modulu xslt2 < 3

16 KAPITOLA 3 INFORMAČNÍ BEZPEČNOST - ÚVOD DO TÉMATU 3.1 Co je bezpečnost informací? Informace jsou aktiva, která mají pro organizaci hodnotu a potřebují být vhodným způsobem chráněna. Bezpečnost informací je zaměřena na širokou škálu hrozeb a zajišt uje jí kontinuitu podnikatelských činností, minimalizuje obchodní ztráty, maximalizuje návratnost investic a podnikatelských příležitostí. Informace mohou existovat v různých podobách. Mohou být vytištěny nebo napsány ručně na papíře, ukládány v elektronické podobě, posílány poštou nebo elektronickou cestou, zachyceny na film nebo vyřčeny při konverzaci. At vezmeme jakoukoli formu informací, bez ohledu na způsob jejich sdělení či uložení, vždy by měla být odpovídajícím způsobem chráněna. Bezpečnost je tedy charakterizována jako zachování: 1. důvěrnosti zajištění toho, že informace je dostupná pouze osobám s autorizovaným přístupem, 2. integrity zabezpečení správnosti a kompletnosti informací a metod zpracování, 3. dostupnosti zajištění toho, že informace a s nimi spjatá aktiva jsou dostupné autorizovaným uživatelům podle jejich potřeby 4. nepopiratelnosti zajištění toho, že subjekt nemůže popřít událost nebo akci, kterou provedl Bezpečnost informací lze dosáhnout implementací soustavy opatření, která mohou existovat v podobě pravidel, natrénovaných postupů, procedur organizační struktury a programovaných funkcí. Tato opatření musí být zavedena proto, aby bylo dosaženo specifických cílů organizace [3]. 3.2 Proč je nezbytná bezpečnost informací? Informace a podpůrné procesy, systémy a sítě jsou důležitými aktivy organizace. Zajištění jejich dostupnosti, integrity a důvěrnosti může být zásadní pro udržení konkurenceschopnosti, toku hotovosti (cash flow), ziskovosti, dodržování zákonných ustanovení a dobrého jména organizace. 4

17 3.3. BEZPEČNOSTNÍ PRVKY Závislost organizací na informačních systémech a jejich službách znamená, že jsou zranitelné vůči bezpečnostním hrozbám. Propojení veřejných a privátních sítí i sdílení informačních zdrojů zvyšuje obtížnost kontroly přístupu. Trend směřující k distribuovanému zpracování oslabil efektivitu centrální kontroly prováděnou specialisty. Mnoho informačních systémů nebylo navrženo tak, aby byly bezpečné. Bezpečnost, která může být dosažena technickými opatřeními, je nedostačující a měla by být doplněna odpovídajícím řízením a postupy. Pro určení opatření, která jsou třeba přijmout, je nutný pečlivý rozbor problémů s důrazem na každý detail [3]. 3.3 Bezpečnostní prvky Základním předpokladem k správnému pochopení problematiky bezpečnosti informací je jednotná terminologie. V následujících odstavcích jsou objasněny pojmy základních bezpečnostních prvků, které budou dále v práci používány Aktiva Obecně se dá popsat aktivum IS jako informace nebo zařízení, jež má pro organizaci cenu a je nutné ho chránit. Správné řízení aktiv je pro úspěch organizace životně důležité a je hlavní odpovědností všech úrovní managementu. Aktiva organizace zahrnují: fyzická aktiva (např. počítačový hardware, komunikační prostředky, budovy), informace/data (např. dokumenty, databáze), software, schopnost vytvářet určité produkty nebo poskytovat služby, lidé, a nehmotné hodnoty (např. abstraktní hodnota firmy, image). Požadavky na ochranu aktiv jsou ovlivněny jejich zranitelností při výskytu specifických hrozeb. Cena nebo důležitost daného aktiva může být vyjádřena kvalitativně nebo kvantitativně např. v peněžních jednotkách nebo na určité stupnici[5] Hrozby Aktiva jsou předmětem mnoha typů hrozeb. Hrozba má potenciální schopnost způsobit nežádoucí incident, který může mít za následek poškození systému nebo organizace a jejich aktiv. Tato škoda se může vyskytnout jako důsledek přímého nebo nepřímého útoku na informace, s kterými pracuje systém nebo služba 5

18 3.3. BEZPEČNOSTNÍ PRVKY Obrázek 3.1: Základní bezpečnostní pojmy a vztahy IT, např. jejich neautorizované zničení, zpřístupnění, modifikace, deformace a nedostupnost nebo ztráta. Podrobný přehled hrozeb je uveden v příloze C normy ISO TR tabulka 1 obsahuje seznam nejběžnějších hrozeb a klasifikaci dopadu těchto hrozeb. Aby způsobila poškození aktiv, využívá hrozba existující zranitelnost aktiv, hrozby mohou mít přírodní nebo lidský původ a mohou být náhodné nebo úmyslné. Jak náhodné tak úmyslné škody by měly být identifikovány a měla by být odhadnuta jejich úroveň a pravděpodobnost[5] Zranitelnost Zranitelnosti spojené s aktivy zahrnují slabá místa na úrovni fyzické, organizační, procedurální, personální, řídící, administrativní, hardwaru, softwaru nebo informací. Mohou být využity hrozbami, které mohou způsobit poškození systému IT 6

19 3.3. BEZPEČNOSTNÍ PRVKY nebo obchodních cílů. Zranitelnost sama o sobě není příčinou škody; zranitelnost je pouze podmínkou nebo množinou podmínek, které mohou umožnit hrozbě, aby ovlivnila aktiva. Je nutné vzít v úvahu zranitelnosti, vznikající z různých zdrojů, například ty, které jsou aktivům vlastní. Zranitelnosti mohou přetrvávat do doby, než se aktiva samotná změní tak, že se jich zranitelnost dále netýká. Zranitelnosti zahrnují slabá místa v systému, která mohou být hrozbou využita a mohou vést k nežádoucím následkům. To jsou příležitosti, které mohou umožnit hrozbě, aby způsobila škodu. Například absence mechanismu řízení přístupu je zranitelnost, která by mohla umožnit výskyt hrozby nežádoucího proniknutí k aktivům a jejich ztrátu. Ne všechny zranitelnosti uvnitř specifického systému nebo organizace musí být podezřelé z hlediska hrozby. Okamžitou pozornost zaslouží zranitelnosti, kterým odpovídá určitá hrozba. Protože se prostředí může dynamicky měnit, měly by být všechny zranitelnosti monitorovány a tak identifikovány tak zranitelnosti, které začaly být vystaveny starým nebo novým hrozbám. Analýza zranitelnosti je prozkoumání slabých míst, která mohou být využita identifikovanými hrozbami. Tato analýza musí vzít v úvahu prostředí a existující ochranná opatření. Zranitelnost konkrétního systému nebo aktiva vůči určité hrozbě je vyjádřením snadnosti, s kterou může být systém nebo aktivum poškozeno[5] Dopad Dopad je důsledek nežádoucího incidentu, způsobeného bud náhodně nebo úmyslně, který má vliv na aktiva. Následky mohou mít podobu zničení určitých aktiv, poškození systému IT, a ztráty důvěrnosti, integrity, dostupnosti, individuální zodpovědnosti, autenticity nebo spolehlivosti. Možné nepřímé následky zahrnují finanční ztráty a ztrátu podílu na trhu nebo image společnosti. Měření dopadů umožňuje vytvoření rovnováhy mezi výsledky nežádoucích incidentů a náklady na ochranná opatření sloužící na ochranu před nežádoucími incidenty. Musí se přihlédnout k četnosti výskytu nežádoucího incidentu. To je důležité zejména, jestliže je velikost škody způsobené každým výskytem nízká, ale souhrnný účinek mnoha incidentů v průběhu času může být škodlivý. Odhad dopadů je důležitým prvkem při odhadu rizik a výběru ochranných opatření. Kvantitativní a kvalitativní měření dopadu lze docílit několika způsoby. jako např.: stanovením finančních nákladů, přiřazením empirické stupnice síly, např. 1 až 10, použitím adjektiv vybraných z předem definovaného seznamu, např. nízký, střední, vysoký[5]. 7

20 3.3. BEZPEČNOSTNÍ PRVKY Riziko Riziko je potenciální možnost, že daná hrozba využije zranitelností, aby způsobila ztrátu nebo poškození aktiv nebo skupiny aktiv, a tedy přímo nebo nepřímo organizace. Jednotlivé nebo vícenásobné hrozby mohou využít jednotlivé nebo vícenásobné zranitelnosti. Rizikový scénář popisuje, jak může konkrétní hrozba nebo skupina hrozeb využít konkrétní zranitelnost nebo skupinu zranitelností, které vystavují aktiva možnosti poškození. Riziko je charakterizováno jako kombinace dvou faktorů, pravděpodobnosti výskytu nežádoucího incidentu a jeho dopadu. Jakákoliv změna aktiv, hrozeb, zranitelností a ochranných opatření může významně ovlivnit rizika. Včasná detekce nebo znalost změn v prostředí nebo v systému zvyšuje příležitost realizovat vhodné akce ke snížení rizika.[5] Ochranná opatření Ochranná opatření jsou praktiky, postupy nebo mechanismy, které mohou poskytnout ochranu před hrozbou, snížit zranitelnost, omezit dopad nežádoucího incidentu, detekovat nežádoucí incidenty a usnadnit obnovu. Účinná bezpečnost obvykle vyžaduje kombinaci různých ochranných opatření, aby poskytla aktivům různé stupně bezpečnosti. Ochranná opatření mohou vykonávat jednu nebo více následujících funkcí: detekci, odstrašovací funkci, prevenci, omezení, korekci, obnovu, monitorování a povědomí o problému. Pro korektně implementovaný bezpečnostní program je podstatný vhodný výběr ochranných opatření. Mnoho ochranných opatření může plnit vícenásobné funkce. Často je z pohledu nákladů efektivnější vybrat ochranná opatření, která splňují vícenásobné funkce. Příklady ochranných opatření: sít ové firewally, monitorování a analýza sítě, šifrování k zajištění důvěrnosti, digitální podpisy, antivirový software, záložní kopie informací, rezervní zdroje energie, a mechanismy řízení přístupu[5]. 8

21 3.3.7 Zbytkové riziko 3.4. JAK STANOVIT BEZPEČNOSTNÍ POŽADAVKY? Rizika jsou obvykle použitím ochranných opatření pouze částečně zmírněna. Částečné zmírnění je vše, čeho je obvykle možné dosáhnout, a čím většího zmírnění má být dosaženo, tím vyšší jsou náklady. Z toho vyplývá, že obvykle existují zbytková rizika. Součástí posouzení, zda bezpečnost odpovídá potřebám organizace, je akceptace zbytkových rizik. Tento proces se nazývá akceptace rizik. Management by měl být uvědomen o všech zbytkových rizicích z hlediska dopadu a pravděpodobnosti výskytu události. Rozhodnutí o akceptaci zbytkových rizik musí učinit ti, kteří jsou oprávněni akceptovat dopad výskytu nežádoucích incidentů a mohou autorizovat implementaci doplňkových ochranných opatření v případě, že zbytková rizika nejsou akceptovatelná[5] Omezení Omezení jsou obvykle stanovena nebo rozpoznána managementem organizace a jsou ovlivněna prostředími, ve kterých organizace vyvíjí svoji činnost. Některé příklady omezení, která by měla být vzata v úvahu, jsou: organizační, finanční, závislá na prostředí, personální, právní (zákony ČR nebo interní normy organizace), časová, technická, a kulturní/sociální. Všechny tyto faktory musí být při výběru a implementaci ochranných opatření vzaty v úvahu. Periodicky musí být prováděna revize existujících a nových omezení a musí být identifikovány jakékoliv změny. Mělo by být rovněž poznamenáno, že omezení se může měnit s časem, s geografickým a sociálním vývojem stejně jako s kulturou organizace. Prostředí a kultura, ve kterých organizace vyvíjí svoji činnost, může mít vliv na několik bezpečnostních prvků, zejména na hrozby, rizika a ochranná opatření [5]. 3.4 Jak stanovit bezpečnostní požadavky? Je nezbytné, aby organizace určila své bezpečnostní požadavky. K tomu existují tři základní důvody: 9

22 3.5. HODNOCENÍ BEZPEČNOSTNÍCH RIZIK 1. Vyplývá z hodnocení rizik, která organizaci hrozí. Za pomoci hodnocení bezpečnostních rizik se určují hrozby působící vůči aktivům, zranitelnost vůči hrozbám i pravděpodobnost výskytu a provádí se odhad jejich potenciálního dopadu. 2. Požadavky zákonů, zákonných norem a smluvní požadavky, které organizace, její obchodní, smluvní a servisní partneři musí splňovat. 3. Konkrétní principy, cíle a požadavky na zpracování informací, které si organizace vytvořila pro podporu provozu [3]. 3.5 Hodnocení bezpečnostních rizik Požadavky na bezpečnost jsou stanoveny za pomoci metodického hodnocení bezpečnostních rizik. Výdaje na bezpečnostní opatření by měly odpovídat ztrátám způsobeným narušením bezpečnosti. Hodnocení rizik může být aplikováno na celou organizaci nebo pouze na její část, stejně jako na jednotlivý informační systém, jeho určitou část nebo službu tam, kde to je praktické, reálné a užitečné. Hodnocení rizik je neustálé zvažování: 1. Možného poškození aktivit organizace, která mohou být selháním bezpečnosti, přičemž je nutné vzít v úvahu potenciální důsledky ze ztráty důvěryhodnosti, integrity nebo dostupnosti informací a jiných aktiv. 2. Reálné pravděpodobnosti výskytu takových chyb z pohledu převažujících hrozeb, zranitelností a aktuálně implementovaných opatření. Výsledky hodnocení rizik pomohou určit odpovídající kroky vedení organizace i priority pro zvládání bezpečnostních rizik u informací a pro realizaci opatření určených k zamezení jejich výskytu. Je možné, že proces hodnocení rizik a stanovení opatření bude třeba opakovat několikrát, aby byly pokryty různé části organizace nebo jednotlivé informační systémy. Důležitá je také pravidelná revize bezpečnostních rizik a přijatých opatření, která umožňuje: 1. Určit změny požadavků organizaci a priorit. 2. Vzít v úvahu nové druhy hrozeb a slabin. 3. Potvrdit vhodnost a účinnost přijatých opatření. Revize by měly být prováděny do různé hloubky v závislostí na výsledcích předcházejících analýz a změn v úrovních rizik, které je vedení ochotno akceptovat. Hodnocení rizik je často zpočátku realizováno na obecné úrovni, jako prostředek ke stanovení priority zdrojů v oblasti závažných rizik a až poté v detailnějších rovinách pro určení konkrétních rizik[3]. 10

23 3.6 Výběr ochranných opatření 3.6. VÝBĚR OCHRANNÝCH OPATŘENÍ Aby byla snížena odhadnutá rizika na přijatelnou úroveň, měla by být identifikována a vybrána vhodná a oprávněná ochranná opatření. Aby bylo možné provést správný výběr, je nutné přihlédnout k existujícím a plánovaným opatřením a k omezením různého druhu. K identifikaci ochranných opatření je užitečné vzít v úvahu zranitelnosti, které jsou předmětem ochrany, a přiřadit hrozby, které by mohli tyto zranitelnosti využit[6]. 3.7 Cíle, strategie a politiky Cíle, strategie a politiky bezpečnosti společnosti je třeba zformulovat jako základnu pro účinnou bezpečnost IT v dané organizaci. Podporují činnost organizace a společně zajišt ují konzistenci mezi všemi ochrannými prostředky. Cíle identifikují, co bude dosaženo, strategie identifikují, jak těchto cílů dosáhnout, a politiky identifikují, co je třeba udělat. Cíle, strategie a politiky mohou být stanoveny hierarchicky od úrovně celé společnosti k operační úrovni organizace. Měly by odrážet organizační požadavky a vzít v úvahu jakákoliv organizační omezení, a měly by zajistit, aby na každé úrovni a přes všechny úrovně byla udržována konzistence. Bezpečnost je odpovědností všech úrovní managementu uvnitř organizace a vyskytuje se ve všech fázích životního cyklu systémů. Cíle, strategie a politiky by měly být udržovány a aktualizovány na základě výsledků periodických bezpečnostních revizí (např. analýzy rizik, bezpečnostních auditů) a změn obchodních cílů[5]. Správná úroveň přijatelných rizik a tudíž odpovídající úroveň bezpečnosti je klíčem k úspěšnému řízení bezpečnosti. Nezbytná úroveň bezpečnosti je determinována cíli bezpečnosti IT, které organizace chce dosáhnout. Typická a pro většinu společností vyhovující cíle bezpečnosti může znít: Základním cílem je eliminovat případné přímé a nepřímé ztráty způsobené zneužitím, poškozením, zničením nebo nedostupností informací, vytvořením uceleného, nákladově optimalizovaného a efektivně fungujícího systému řízení bezpečnosti informací. Aby bylo možno stanovit bezpečnostní cíle, musí se vzít v úvahu aktiva a jejich hodnota pro danou organizaci. To je dáno hlavně významem, který má IT pro podporu řízení činnosti organizace, cena vlastní IT je pouze malou částí její hodnoty. Možné otázky pro stanovení, jak závisí činnost organizace na IT, jsou tyto: Které důležité/vysoce důležité oblasti činnosti organizace nemohou být realizovány bez podpory IT? Které úkoly mohou být provedeny pouze s pomocí IT?, Která zásadní rozhodnutí závisí na přesnosti, integritě nebo dostupnosti informací, zpracovávaných IT, nebo na aktuálnosti těchto informací? 11

24 3.7. CÍLE, STRATEGIE A POLITIKY Které zpracovávané důvěrné informace vyžadují ochranu? právní (zákony ČR nebo interní normy organizace), Jaké jsou pro organizaci důsledky nežádoucích bezpečnostních incidentů? [6]. Zodpovězení těchto otázek může pomoci stanovit bezpečnostní cíle organizace. Jestliže jsou například některé důležité nebo vysoce důležité oblasti činnosti závislé na přesných nebo aktuálních informacích, potom jeden z bezpečnostních cílů této organizace může být zajistit integritu a včasnost informací, zpracovávaných v systémech IT. Při stanovení bezpečnostních cílů by také mělo být přihlédnuto k důležitým cílům činnosti a k jejich vztahu k bezpečnosti. Bezpečnostní cíle a požadavky organizace je podřízena nadřazeným prvkům např. bezpečnostní strategie celého konsorcia nebo společnosti. V závislosti na bezpečnostních cílech by měla být dohodnuta strategie pro dosažení těchto cílů. Zvolená strategie by měla odpovídat hodnotě aktiv určených k ochraně. Jestliže je například odpověd na jednu nebo více otázek ano, potom je pravděpodobné, že organizace má vysoké požadavky na bezpečnost, a doporučuje se zvolit strategii, která reprezentuje dostatečné úsilí ke splnění těchto požadavků. Strategie bezpečnosti IT obecně vyjadřuje, jak organizace dosáhne cíle bezpečnosti IT. Témata, kterými by se měla tato strategie zabývat, závisí na množství, druhu a významu těchto cílů a obvykle jsou to témata, které organizace považuje za tak významná, že by měla být jednotně řešena v rámci celé organizace. Témata mohou být svou povahou zcela specifická nebo velmi široká. Bezpečnostní strategie a oblasti, na které je zaměřena by měly být po jejím stanovení začleněny do bezpečnostní politiky IT celé společnosti. Jako u každého projektu je nezbytné i v případě informační bezpečnosti přesně vymezit hranice, ve kterých se budeme pohybovat. Vždy je nutné u organizace stanovit, v jakém rozsahu bude bezpečnostní politika působit. Hranice řešení vymezujeme minimálně v těchto dimenzích: typy informací (dat) zahrnutých do řešení, části informačního systému, organizační složky (lokality) společnosti, části významného okolí společnosti (např. dceřiné společnosti, dodavatelé, partneři)[6] Bezpečnostní politika celé společnosti Bezpečnostní politika celé společnosti zásadně zahrnuje bezpečnostní zásady a směrnice pro organizaci jako celek. Bezpečnostní politiky společnosti musí odrážet širší politiky společnosti, včetně těch, které se zabývají právy jednotlivců, právními požadavky a normami[5]. 12

25 3.7.2 Bezpečnostní politika IT celé společnosti 3.8. POJETÍ ŘÍZENÍ BEZPEČNOSTI IT Bezpečnostní politika IT celé společnosti musí odrážet základní bezpečnostní zásady a směrnice aplikovatelné na bezpečnostní politiku společnosti a všeobecné používání systémů IT uvnitř organizace[5] Bezpečnostní politika systémů IT Bezpečnostní politika systémů IT musí odrážet bezpečnostní zásady a směrnice obsažené v bezpečnostní politice IT společnosti. Měla by také obsahovat podrobnosti specifických bezpečnostních požadavků a ochranných opatření, které mají být implementovány, a návod jak je správně používat, aby byla zajištěna adekvátní bezpečnost. Ve všech případech je důležité, aby přijatý přístup byl efektivní v relaci k obchodním potřebám organizace[5]. 3.8 Pojetí řízení bezpečnosti IT Řízení bezpečnosti IT je proces, používaný k dosažení a udržování příslušných úrovní důvěrnosti, integrity, dostupnosti, nepopiratelnosti, individuální odpovědnosti, autenticity a spolehlivosti. Funkce řízení bezpečnosti IT zahrnují: stanovení organizačních cílů, strategií a politik bezpečnosti IT determinaci organizačních požadavků na bezpečnost IT, identifikaci a analýzu bezpečnostních hrozeb vůči aktivům IT uvnitř organizace, identifikaci a analýzu rizik specifikaci příslušných ochranných opatření, monitorování implementace a činnosti ochranných opatření, která jsou nezbytná za účelem sledování nákladů k efektivní ochraně informací a služeb uvnitř organizace, vývoj a implementaci programu dosažení povědomí o bezpečnosti, a detekování a reakci na incidenty[5]. Tento proces řízení bezpečnosti IT je definován normou ČSN ISO/EIC TR Následná norma ČSN BS tento koncept rozšiřuje o model Systému řízení bezpečnosti informací (ISMS) viz. následující kapitola. 13

26 3.8. POJETÍ ŘÍZENÍ BEZPEČNOSTI IT Typ/dopad hrozby dostupnost důvěrnost integrita nepopiratelnost Hrozby prostředí Blesk x Písečná bouře x Povodeň x Sněhová bouře x Sopečný výbuch x Tornádo x Tsunami x Zemětřesení x Lidské Hrozby Úmyslné Falešný poplach x Krádež x x x Nabourání systému x x x x Odposlech x x Podvod x x x x Stávka x Únik informací x x Válka x Vandalismus x x x x Změna informace x x x x Náhodné Chyba hardware x x x Chyba software x x x x Lidská chyba x x x x Požár x Únik informací x x Výpadek proudu x x Výpadek telekomunikace x Tabulka 3.1: Přehled hrozeb a hlediska kvalifikace dopadu 14

27 KAPITOLA 4 SYSTÉM ŘÍZENÍ BEZPEČNOSTI INFORMACÍ Systém managementu bezpečnosti informací je část celkového systému managementu organizace založená na přístupu organizace k rizikům činností, která je zaměřena na ustanovení, zavádění, provoz, monitorování, přezkoumání, udržování a soustavné zlepšování bezpečnosti informací. Obrázek 4.1: Pokrytí oblastí definované v ISMS ISMS je navržen tak, aby zajistil odpovídající a přiměřená bezpečnostní opatření chránící informační aktiva a poskytující odpovídající jistotu zainteresovaným stranám.[4]. 4.1 Normy Systémy managementu bezpečnosti informací prodělávají v posledních letech bouřlivý vývoj, který se promítá i do oblasti normalizace. Mezinárodní normy 15

28 4.1. NORMY pro systémy managementu bezpečnosti informací patří mezi základní soubory norem technické normalizace, národní i mezinárodní. Bezpečnostní normy jsou důležitým prvkem informační bezpečnosti, který dovoluje sjednotit formu bezpečnostních opatření a přístupů k informační bezpečnosti. Vysoká míra současné normalizační aktivity je momentem, který přispívá k prohlubování informační bezpečnosti. Na jaře roku 2005 oznámila ISO (Mezinárodní organizace pro normalizaci) zavedení nové řady norem v oblasti bezpečnosti informací pod označením ISO/IEC Cílem této řady norem označených ISO/IEC je sjednotit požadavky, návody a doporučení na systémy řízení informační bezpečnosti, které se vyskytují v různých normách. Základní/sjednocující normou je ISO/IEC 27001:2005. Tuto normu doplňují další normy v téže řadě. Přehled základních norem řady ISO/IEC 27000: ISO/IEC Slovník a definice v oblasti ISMS je terminologickou normou pro tuto řadu norem. ISO/IEC 27001:2005 Požadavky na systémy managementu bezpečnosti informací. Původně známa pod označením jako BS Podle této normy se postupuje při certifikacích ISMS. ISO/IEC popisuje sadu bezpečnostních opatření, které musí organizace provést při implementaci ISMS. Původně označena jako ISO/IEC ISO/IEC poskytuje návod k implementací ISMS. ISO/IEC (Information security management metrics and measurements) popisuje management měření a metrik v ISMS. Poskytuje návod, jak uplatňovat metody měření, vhodné ukazatele (metriky) při implementaci ISMS a poskytuje návod, jakým způsobem je zvolit. ISO/IEC (Information Security Risk) připravovaná norma, která bude popisovat požadavky a principy managementu rizik v ISMS. Vychází z britské normy BS :2005. ISO/IEC (Guidelines for information and communications technology disaster recovery services) popisuje metody a požadavky na služby havarijní obnovy[?]. Aktuální stav norem této řady je těžké přesně postihnout, nebot velké množství norem je ve stádiu přípravy nebo schvalování, více viz. < org/wiki/iso/iec_27000-series>. Další relevantní normy v oblasti bezpečnosti informací je řada ISO/IEC TR 13335Informační technologie - Směrnice pro řízení bezpečnosti IT, jež je odkazována z aktuálních norem řady ISO/IEC a hlavně z dřívějších norem (BS , ISO/IEC 17799). Řada norem ISO/IEC je také propojena s normami 16

29 4.2. MODEL PCDA ČSN EN ISO 9001:2001 Systémy managementu jakosti - Požadavky a ČSN EN ISO 19011:2003 (ISO 19011:2002) Směrnice pro auditování systému managementu jakosti a/nebo systému environmentálního managementu, aby bylo podpořeno jejich konzistentní a jednotné zavedení a provoz. 4.2 Model PCDA Pro zavádění a řízení procesů ISMS je užit známý model PCDAPlan-Do-Check- Act (Plánuj-Dělej-Kontroluj-Jednej), který je znázorněn na obrázku 1. Obrázek 4.2: PCDA model aplikovaný na ISMS procesy Plánuj (ustavení ISMS) Ustavení bezpečnostní politiky, plánů, cílů, procesů a postupů souvisejících s řízením rizik a zlepšováním bezpečnosti informací tak, aby poskytovaly výsledky v souladu s celkovou politikou a cíli organizace. 17

30 4.2.2 Dělej (zavádění a provozování ISMS) 4.3. USTAVENÍ A ŘÍZENÍ ISMS Zavedení a využívání bezpečnostní politiky, kontrol, procesů a postupů Kontroluj (monitorování a přezkoumání ISMS) Posouzení, kde je to možné i měření výkonu procesu (resp. jeho funkčnosti a efektivnosti) vůči bezpečnostní politice, cílům a praktickým zkušenostem a hlášení výsledků vedení organizace k přezkoumání Jednej (udržování a zlepšování ISMS) Provedení opatření k nápravě a preventivních opatření, založených na výsledcích přezkoumání systému managementu ze strany vedení organizace tak, aby bylo dosaženo neustálého zlepšování ISMS. 4.3 Ustavení a řízení ISMS Ustavení ISMS Organizace musí provést následující. 1. Určit rozsah a hranice ISMS na základě posouzení specifických rysů činností organizace, jejího uspořádání, struktury, umístění (lokality), aktiv a technologií, včetně důvodů pro vyjmutí z rozsahu ISMS. 2. Definovat politiku ISMS na základě posouzení specifických rysů činností organizace, její struktury, umístění, aktiv a technologií, která: (a) zahrnuje rámec pro stanovení jejích cílů a ustavuje celkový směr řízení a rámec zásad činností týkající se bezpečnosti informací; (b) bere v úvahu požadavky týkající se činností organizace a zákonné nebo regulatorní požadavky a smluvní bezpečnostní závazky; (c) pro vybudování a údržbu ISMS vytváří potřebné vazby na prostředí, tedy na strategii organizace, její organizační strukturu a proces managementu rizik; (d) stanovuje kritéria, kterými bude hodnoceno riziko; (e) byla schválena vedením. 3. Stanovit přístup organizace k hodnocení rizik (a) identifikovat metodiku hodnocení rizik, která vyhovuje ISMS a stanovené bezpečnosti informací, zákonným a regulatorním požadavkům. 18

31 4.3. USTAVENÍ A ŘÍZENÍ ISMS (b) vytvořit kritéria pro akceptaci rizik a identifikovat jejich akceptační úrovně. Vybraná metodika hodnocení rizik musí zajistit, že jsou výsledky hodnocení rizik porovnatelné a reprodukovatelné. 4. Identifikovat rizika. (a) identifikovat aktiva v rámci rozsahu ISMS a jejich vlastníky. 1 (b) identifikovat hrozby pro tato aktiva. (c) identifikovat zranitelnosti, které by mohly být hrozbami využity. (d) identifikovat jaké dopady na aktiva by mohla mít ztráta důvěrnosti, integrity a dostupnosti. 5. Analyzovat a vyhodnocovat rizika. (a) posoudit dopady na činnost organizace, které by mohly vyplynout ze selhání bezpečnosti s tím, že vezme v úvahu případné následky ztráty důvěrnosti, integrity nebo dostupnosti aktiv. (b) posoudit reálnou pravděpodobnost selhání bezpečnosti, které by se mohlo vyskytnout působením existujících hrozeb a zranitelností a dopady na konkrétní aktiva s přihlédnutím k aktuálně zavedeným opatřením. (c) odhadnout úrovně rizik. (d) určit, zda jsou rizika akceptovatelná nebo vyžadují zvládání podle kritérií stanovených v c) 2). 6. Identifikovat a vyhodnotit varianty pro zvládání rizik. Možné činnosti zahrnují: (a) aplikování vhodných opatření; (b) vědomé a objektivní akceptování rizik za předpokladu, že zřetelně naplňují politiky organizace a kritéria pro akceptaci rizik. (c) vyhnutí se rizikům; (d) přenesení rizik spojených s činností organizace na třetí strany, např. na pojišt ovny, dodavatele. 1. Vlastníkem je myšlen jednotlivec jemuž byla vedením přidělena odpovědnost za produkci, vývoj, údržbu, použití a bezpečnost aktiv, neznamená to však, že by byl jejich skutečným vlastníkem, měl k nim vlastnická práva. 19

32 4.3. USTAVENÍ A ŘÍZENÍ ISMS 7. Vybrat cíle opatření a jednotlivá bezpečnostní opatření pro zvládání rizik Z Přílohy A normy ISO/IEC 27001:2005 musí být vybrány a implementovány vhodné cíle opatření a jednotlivá bezpečnostní opatření a tento výběr musí být zdůvodněn na základě výsledků procesů hodnocení a zvládání rizik 2. Při výběru musí být zohledněna kritéria pro akceptaci rizik, stejně jako zákonné, regulatorní a smluvní požadavky. Cíle opatření a jednotlivá bezpečnostní opatření uvedená v Příloze A nejsou vyčerpávající, mohou tedy být určeny i další cíle opatření a jednotlivá opatření. 8. Získat souhlas vedení organizace s navrhovanými zbytkovými riziky. 9. Získat povolení ze strany vedení organizace k zavedení a provozu ISMS. 10. Připravit Prohlášení o aplikovatelnosti 3, které musí obsahovat následující: (a) cíle opatření a jednotlivá bezpečnostní opatření a důvody pro jejich výběr; (b) cíle opatření a jednotlivá bezpečnostní opatření, která jsou již v organizaci implementována; (c) vyloučené cíle opatření a jednotlivá bezpečnostní opatření uvedená v Příloze A, včetně zdůvodnění pro jejich vyloučení[4] Zavádění a provozování ISMS Organizace musí provést následující: 1. Formulovat plán zvládání rizik, který vymezí odpovídající činnost vedení, zdroje, odpovědnosti a priority pro management rizik bezpečnosti informací 2. Zavést plán zvládání rizik tak, aby dosáhla identifikovaných cílů opatření, přičemž vezme v úvahu finanční zdroje a přiřazení rolí a odpovědností. 3. Zavést bezpečnostní opatření pro dosažení (naplnění) cílů těchto opatření. 2. Příloha A normy ISO/IEC 27001:2005 obsahuje ucelený seznam cílů opatření a jednotlivých bezpečnostních opatření, které byly shledány jako obecně použitelné pro všechny typy organizací. Seznam poskytuje uživatelům důležité vodítko pro zajištění toho, aby nebyla opomenuta nebo přehlédnuta žádná z důležitých opatřeni. 3. Prohlášení o aplikovatelnosti poskytuje souhrn rozhodnutí jakým způsobem bude naloženo s identifikovanými riziky. Zdůvodnění pro vyloučení cílů opatření a jednotlivých opatření poskytuje zpětnou kontrolu, zda nebyly vyloučeny omylem. 20

33 4.3. USTAVENÍ A ŘÍZENÍ ISMS 4. Určit jakým způsobem bude měřit účinnost vybraných opatření nebo skupin opatření a stanovit jakým způsobem budou tato měření použita k vyhodnocení účinnosti opatření tak, aby závěry hodnocení byly porovnatelné a opakovatelné Zavést programy školení a programy zvyšování informovanosti. 6. Řídit provoz ISMS. 7. Řídit zdroje ISMS. 8. Zavést postupy a další opatření pro rychlou detekci a reakci na bezpečnostní události a postupy reakce na bezpečnostní incidenty Monitorování a přezkoumání ISMS Organizace musí provést následující: 1. Monitorovat, přezkoumávat a zavést další opatřeni: (a) pro včasnou detekci chyb zpracování; (b) pro včasnou identifikaci úspěšných i neúspěšných pokusů o narušení bezpečnosti a detekci bezpečnostních incidentů; (c) umožňující vedení organizace určit, zda bezpečnostní aktivity prováděné pověřenými osobami nebo pro které byly implementovány technologie, fungují podle očekávání; (d) umožňující detekci bezpečnostních událostí a zabránění tak vzniku bezpečnostních incidentů; a (e) umožňující vyhodnocení účinnosti činností podniknutých při narušení bezpečnosti. 2. Pravidelně přezkoumávat účinnost ISMS (včetně splnění politiky ISMS, cílů a přezkoumání bezpečnostních opatření) s ohledem na výsledky bezpečnostních auditů, incidentů, výsledků měření účinnosti opatření, návrhů a podnětů všech zainteresovaných stran. 3. Měřit účinnost zavedených opatření pro ověření toho, že byly naplněny požadavky na bezpečnost. 4. V plánovaných intervalech provádět přezkoumání hodnocení rizik a přezkoumávat zbytková rizika a úroveň akceptovatelného rizika s ohledem na změny: 4. Měření účinnosti opatření poskytuje vedení organizace a zaměstnancům informaci o tom, jak jednotlivá opatření naplňují plánované cíle opatření. 21

34 (a) organizace; (b) technologií; (c) cílů činností organizace a procesů; (d) identifikovaných hrozeb; (e) účinnosti zavedených opatření; 4.3. USTAVENÍ A ŘÍZENÍ ISMS (f) regulatorního a právního prostředí, změny vyplývající ze smluvních závazků, změny sociálního klimatu. 5. Provádět interní audity ISMS 5 v plánovaných intervalech. 6. Na úrovni vedení organizace pravidelně přezkoumávat ISMS aby se zajistilo, že jeho rozsah je i nadále odpovídající a že se daří nacházet možnosti zlepšení. 7. Aktualizovat bezpečnostní plány s ohledem na závěry monitorování a přezkoumání. 8. Zaznamenávat všechny činností a události, které by mohly mít dopad na účinnost nebo výkon ISMS Udržování a zlepšování ISMS Organizace musí pravidelně provádět následující: 1. Zavádět identifikovaná zlepšení ISMS. 2. Provádět odpovídající nápravné a preventivní činnosti v souladu s 8.2 a 8.3 s využitím jak vlastních zkušeností v oblasti bezpečnosti, tak i zkušeností jiných organizací. 3. Projednávat činnosti a návrhy na zlepšení na požadované úrovni detailu se všemi zainteresovanými stranami a domluvit další postup. 4. Zaručit, že zlepšení dosáhnou předpokládaných cílů. 5. Interní audity jsou prováděny přímo organizací nebo ve spolupráci s externími auditory. Jejich cílem může být například prověření systému managementu před samotným certifikačním auditem. 22

35 4.4 Požadavky na dokumentaci 4.4. POŽADAVKY NA DOKUMENTACI Dokumentace musí obsahovat záznamy o rozhodnutích učiněných vedením a musí zajistit, že veškeré činnosti jsou zpětně identifikovatelné v politikách a dohledatelné v záznamech o rozhodnuti vedením, aby se zajistila jejich opakovatelnost. 6 Je důležité mít dokumentován a na požádání doložit vztah mezi vybranými opatřeními a závěry z procesů hodnocení a zvládání rizik a následně vazbu zpět na politiku a cíle ISMS Všeobecně Dokumentace ISMS musí obsahovat následující: 7 1. dokumentovaná prohlášení politiky a cílů ISMS. 2. rozsah ISMS. 3. postupy a opatření podporující ISMS. 4. popis použitých metodik hodnocení rizik. 5. zprávu o hodnocení rizik. 6. plán zvládání rizik. 7. dokumentované postupy 8 nezbytné pro zajištění efektivního plánování, provozu a řízení procesů bezpečnosti informací organizace a popis toho jakým způsobem měřit účinnost zavedených opatření. 8. záznamy vyžadované normou ISO prohlášení o aplikovatelnosti Řízeni dokumentů Dokumenty požadované ISMS musí být chráněny a řízeny. Musí být vytvořen dokumentovaný postup tak, aby vymezil řídící činnosti potřebné ke: 1. schvalování obsahu dokumentů před jejich vydáním; 6. Dokumenty a záznamy mohou být v jakékoliv formě a na jakémkoliv nosiči. 7. Rozsah dokumentace ISMS se může pro jednotlivé organizace lišit, závisí na: velikosti organizace a typu její činnosti; rozsahu a složitosti systému, který je řízen a na požadavcích na bezpečnost. 8. Termín dokumentovaný postup znamená, že je tento postup vytvořen, dokumentován, zaveden a udržován. 23

36 4.5. ODPOVĚDNOST VEDENÍ 2. přezkoumání dokumentů, popřípadě jejich aktualizaci a opakovanému schvalování; 3. zajištění identifikace změn dokumentů a aktuálního stavu revize dokumentů; 4. zajištění dostupnosti příslušných verzí aplikovatelných dokumentů v místech jejich používání; 5. zajištění čitelnosti a snadné identifikovatelnosti dokumentů; 6. zajištění dostupnosti dokumentů pro všechny, kteří je potřebují, zajištění přenášení, ukládání a likvidace dokumentů v souladu s postupy odpovídajícími jejich klasifikaci; 7. zajištění identifikace dokumentů externího původu; 8. zajištění řízené distribuce dokumentů; 9. zabránění neúmyslnému použití zastaralých dokumentů; 10. aplikování jejich vhodné identifikace pro případ dalšího použití Řízení záznamů Záznamy musí být vytvořeny a udržovány tak, aby poskytovaly důkaz o shodě s požadavky a o efektivním fungování ISMS. Záznamy musí být chráněny a řízeny. ISMS musí zohlednit všechny příslušné právní nebo regulatorní požadavky a smluvní závazky. Záznamy musí zůstat čitelné, snadno identifikovatelné a musí být možné je snadno vyhledat. Opatření potřebná k identifikaci, uložení, ochraně, vyhledání, době platnosti a uspořádání záznamů musí být dokumentována. Musí být udržovány záznamy o výkonu procesu budování a řízení ISMS, jak je popsáno v 4.3 Dále musí být udržovány záznamy o všech výskytech bezpečnostních incidentů, vztahujících se k ISMS. 4.5 Odpovědnost vedení Závazek vedení Vedení organizace musí poskytnout důkazy o své vůli k ustavení, zavedení, provozu, monitorování, přezkoumání, udržování a zlepšování ISMS tak, že: 1. ustanoví politiku ISMS; 2. zajistí stanovení cílů ISMS a plánu jejich dosažení; 3. stanoví role, povinnosti a odpovědnosti v oblasti bezpečnosti informací; 24

37 4.5. ODPOVĚDNOST VEDENÍ 4. propaguje v rámci organizace význam plnění cílů bezpečnosti informací, jejich souladu s politikou bezpečnosti informací, odpovědností vyplývajících ze zákona a potřebu soustavného zlepšování; 5. zajistí dostatečné zdroje pro ustavení, zavedení, provoz, monitorování, přezkoumání, údržbu a zlepšování ISMS. 6. stanoví svým rozhodnutím kritéria pro akceptaci rizik a akceptovatelnou úroveň rizika; 7. zajistí provádění interních auditů ISMS; 8. provede přezkoumání ISMS vedením Zajištění zdrojů Organizace musí určit a zajistit zdroje potřebné pro: 1. ustavení, zavedení, provoz, monitorování, přezkoumání, udržování a zlepšování ISMS; 2. zajištění podpory požadavků činností organizace postupy bezpečnosti informací; 3. identifikace a věnování náležité pozornosti zákonným a regulatorním požadavkům a smluvním bezpečnostním závazkům; 4. udržování odpovídající úrovně bezpečnosti správnou aplikací všech zavedených opatření; 5. provedení přezkoumání podle potřeby a zajištění odpovídajících reakcí na jejich výsledky; 6. zlepšení účinnosti ISMS podle potřeby Školení, informovanost a odborná způsobilost Organizace musí zajistit, aby zaměstnanci, kterých se týkají povinnosti definované v ISMS, byli odborně způsobilí k výkonu požadovaných úkolů. Zajišt uje to pomocí: 1. určení nezbytné odborné způsobilosti personálu vykonávajícího práci ovlivňující ISMS; 2. zajištění odpovídajícího školení nebo podniknutí jiných kroků (např. zaměstnání kvalifikovaného personálu); 25

38 4.6. INTERNÍ AUDITY ISMS 3. vyhodnocení účinnosti zajištěného školení a provedených činností; a 4. udržování záznamů o vzdělávání, školení, dovednostech, zkušenostech a kvalifikačních předpokladech Organizace musí také zajistit, aby si byl veškerý příslušný personál vědom závažnosti a významu svých činností v rámci bezpečnosti informací a svého přínosu k dosažení cílů ISMS. 4.6 Interní audity ISMS Organizace musí provádět interní audity ISMS v plánovaných intervalech, aby určila, zda cíle opatření, jednotlivá bezpečnostní opatření, procesy a postupy ISMS: 1. vyhovují požadavkům této normy a odpovídajícím zákonným nebo regulatorním požadavkům; 2. vyhovují identifikovaným požadavkům na bezpečnost informací; 3. jsou zavedeny a udržovány efektivně; 4. fungují tak, jak se očekává. Program auditů musí být naplánován s ohledem na stav a význam auditovaných procesů a oblastí a s ohledem na výsledky předchozích auditů. Musí být definována kritéria auditů, jejich rozsah, četnost a metody. Výběr auditorů a vlastní provedení auditů musí zajistit objektivitu a nestrannost procesu auditu. Auditoři nesmí auditovat (prověřovat) svou vlastní práci. Odpovědnosti a požadavky na plánování a provedení auditů, na hlášení výsledků a udržování záznamů musí být definovány dokumentovaným postupem. Vedoucí zaměstnanci odpovědní za oblast, která je předmětem auditu, musí zajistit, že kroky na odstranění zjištěných nedostatků a jejich příčin jsou prováděny bez zbytečného odkladu. Tyto kroky musí obsahovat zpětnou kontrolu a hlášení o výsledcích této kontroly (viz kapitola 8) 4.7 Přezkoumání ISMS vedením organizace Vedení organizace musí provádět přezkoumání ISMS organizace v plánovaných intervalech (alespoň jednou za rok), aby zajistilo jeho permanentní přiměřenost, adekvátnost a účinnost. Tato přezkoumání musí také hodnotit možnosti zlepšení a potřebu změn v ISMS, včetně bezpečnostní politiky a cílů bezpečnosti. Výsledky přezkoumání musí být jasně zdokumentovány a musí být o nich udržovány záznamy. 26

39 4.7.1 Vstup pro přezkoumání 4.7. PŘEZKOUMÁNÍ ISMS VEDENÍM ORGANIZACE Vstupy pro přezkoumání vedením organizace musí zahrnovat informace o: 1. výsledcích auditů a přezkoumání ISMS; 2. zpětné vazbě od zainteresovaných stran; 3. technikách, produktech nebo postupech, které by mohly být použity v organizaci ke zlepšení výkonu a účinnosti ISMS; 4. stavu preventivních opatření a stavu opatření k nápravě; 5. zranitelnostech nebo hrozbách, jimž nebyla v rámci předchozích přezkoumání rizik věnována náležitá pozornost; 6. závěrech měření účinnosti zavedených opatření; 7. činnostech, které následovaly po předchozím přezkoumání vedením organizace; 8. změnách, které by mohly ovlivnit ISMS; 9. doporučeních pro zlepšení Výstup z přezkoumání Výstup z přezkoumání prováděného vedením organizace musí zahrnovat jakákoli rozhodnutí a činnosti vztahující se ke: 1. zvyšování účinnosti ISMS; 2. aktualizaci hodnocení rizik a plánu zvládání rizik; 3. nezbytným změnám postupů v bezpečnosti informací, v reakci na vnitřní nebo vnější události, které by mohly mít vliv na ISMS. Změny se mohou týkat: (a) požadavků spojených s činností organizace; (b) bezpečnostních požadavků; (c) procesů ovlivňujících existující požadavky spojené s činností organizace; (d) regulatorních nebo zákonných požadavků; (e) smluvních závazků; (f) úrovní rizika a/nebo úrovní akceptovatelnosti rizika. 4. potřebě zdrojů; 5. zlepšování postupů měření účinnosti opatřeni 27

40 4.8 Zlepšování ISMS 4.8. ZLEPŠOVÁNÍ ISMS Neustálé zlepšování Organizace musí neustále zvyšovat účinnosti ISMS s využitím politiky bezpečnosti informací, cílů bezpečnosti informací, výsledků auditů, analýz monitorovaných událostí, nápravných a preventivních opatření a přezkoumání prováděných vedením organizace. Obrázek 4.3: Výsledná struktura ISMS Opatření k nápravě Organizace musí přijmout příslušná opatření pro odstranění nedostatků spojených s implementací a provozem ISMS, aby zabránila jejich opětovnému výskytu. Zdokumentované postupy nápravných opatření musí definovat požadavky na: 1. identifikaci nesouladu v zavedení a/nebo provozu ISMS; 2. určení příčin nesouladu; 3. vyhodnocení potřeby opatření, kterým se zajistí, že se nesoulad znovu nevyskytne; 4. určeni a zavedení potřebných opatření k nápravě; 5. zaznamenání výsledků přijatých opatření. 6. přezkoumání přijatých opatření k nápravě. 28

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc. Fyzická bezpečnost, organizační opatření RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost,

Více

srpen 2008 Ing. Jan Káda

srpen 2008 Ing. Jan Káda nauka o srpen 2008 Ing. Jan Káda ČSN ISO/IEC 27001:2006 (1) aktivum cokoliv, co má pro organizaci hodnotu důvěrnost zajištění, že informace jsou přístupné pouze těm, kteří jsou k přístupu oprávněni integrita

Více

BEZPEČNOSTI INFORMACÍ

BEZPEČNOSTI INFORMACÍ Systém managementu BEZPEČNOSTI INFORMACÍ Martin Drastich Vývoj a současnost standardů informační bezpečnosti Komentář normy ISO/IEC 27001:2005 Implementace systému managementu bezpečnosti informací Audit,

Více

ČSN ISO/IEC 27001 P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

ČSN ISO/IEC 27001 P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001 ČSN ISO/IEC 27001 Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky Představení normy ISO/IEC 27001 a norem souvisejících - Současný stav ISO/IEC 27001:2005

Více

ČESKÁ TECHNICKÁ NORMA

ČESKÁ TECHNICKÁ NORMA ČESKÁ TECHNICKÁ NORMA ICS 35.020; 35.040 2008 Systém managementu bezpečnosti informací - Směrnice pro management rizik bezpečnosti informací ČSN 36 9790 Červen idt BS 7799-3:2006 Information Security Management

Více

V Brně dne 10. a

V Brně dne 10. a Analýza rizik V Brně dne 10. a 17.10.2013 Ohodnocení aktiv 1. identifikace aktiv včetně jeho vlastníka 2. nástroje k ohodnocení aktiv SW prostředky k hodnocení aktiv (např. CRAMM metodika CCTA Risk Analysis

Více

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

BEZPEČNOSTNÍ POLITIKA INFORMACÍ BEZPEČNOSTNÍ POLITIKA INFORMACÍ společnosti ČEZ Energetické služby, s.r.o. Stránka 1 z 8 Obsah: 1. Úvodní ustanovení... 3 2. Cíle a zásady bezpečnosti informací... 3 3. Organizace bezpečnosti... 4 4. Klasifikace

Více

Organizační opatření, řízení přístupu k informacím

Organizační opatření, řízení přístupu k informacím Organizační opatření, řízení přístupu RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost,

Více

Management bezpečnosti informací dle ISO 27001:2006. Zkušenosti se zaváděním ve společnosti SYSCOM SOFTWARE s.r.o.

Management bezpečnosti informací dle ISO 27001:2006. Zkušenosti se zaváděním ve společnosti SYSCOM SOFTWARE s.r.o. Management bezpečnosti informací dle ISO 27001:2006 Zkušenosti se zaváděním ve společnosti SYSCOM SOFTWARE s.r.o. ENVIRO 15.4.2010 Ing. Jaroslav Březina 1 O autorovi Ing. Jaroslav Březina Pracuje ve společnosti

Více

Bezpečnostní politika společnosti synlab czech s.r.o.

Bezpečnostní politika společnosti synlab czech s.r.o. Bezpečnostní politika společnosti synlab czech s.r.o. Platnost dokumentu: 14. ledna 2015 Datum vypracování: 8. ledna 2015 Datum schválení: 13. ledna 2015 Vypracoval: Schválil: Bc. Adéla Wosková, Ing. Jaroslav

Více

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti Ing. Daniel Kardoš, Ph.D 4.11.2014 ČSN ISO/IEC 27001:2006 ČSN ISO/IEC 27001:2014 Poznámka 0 Úvod 1 Předmět normy 2 Normativní odkazy 3 Termíny

Více

Implementace systému ISMS

Implementace systému ISMS Implementace systému ISMS Krok 1 Stanovení rozsahu a hranic ISMS Rozsah ISMS Krok 2 Definice politiky ISMS Politika ISMS Krok 3 Definice přístupu k hodnocení rizik Dokumentovaný přístup k hodnocení rizik

Více

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI TÉMA Č. 4 ISO NORMY RODINY 27K pplk. Ing. Petr HRŮZA, Ph.D. Univerzita obrany, Fakulta ekonomiky a managementu Katedra vojenského managementu a taktiky E-mail.: petr.hruza@unob.cz

Více

Věstník ČNB částka 18/2010 ze dne 21. prosince ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010

Věstník ČNB částka 18/2010 ze dne 21. prosince ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010 Třídící znak 2 2 1 1 0 5 6 0 ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010 k výkonu činnosti organizátora regulovaného trhu, provozovatele vypořádacího systému a centrálního depozitáře cenných

Více

BEZPEČNOSTNÍ POLITIKA PRO BEZPEČNOST INFORMACÍ V ORGANIZACI

BEZPEČNOSTNÍ POLITIKA PRO BEZPEČNOST INFORMACÍ V ORGANIZACI BEZPEČNOSTNÍ POLITIKA PRO BEZPEČNOST INFORMACÍ V ORGANIZACI Název organizace Identifikační číslo 60153351 Sídlo organizace Datum zpracování 18. 5. 2018 Platnost a účinnost 25. 5. 2015 ZÁKLADNÍ ŠKOLA A

Více

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi 2011 6. října 2011 r

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi 2011 6. října 2011 r ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI Ing. Jiřina Petříková Informační technologie pro praxi 2011 6. října 2011 r Bezpečnost informací Zvyšuje se cena informací v oblasti soukromého podnikání i státní

Více

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013 ISMS Zavádění a provozování ISMS Bezpečnostní projekt V Brně dne 10. října 2013 Co je to bezpečnost informací Systematické ti úsilí (proces), jehož účelem je trvalé zlepšování ochrany cenných informací

Více

Řízení rizik. RNDr. Igor Čermák, CSc.

Řízení rizik. RNDr. Igor Čermák, CSc. Řízení rizik RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost, MI-IBE, zimní semestr 2011/2012,

Více

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB Návrh vyhlášky k zákonu o kybernetické bezpečnosti Přemysl Pazderka NCKB Východiska ISO/IEC 27001:2005 Systémy řízení bezpečnosti informací Požadavky ISO/IEC 27002:2005 Soubor postupů pro management bezpečnosti

Více

V Brně dne a

V Brně dne a Aktiva v ISMS V Brně dne 26.09. a 3.10.2013 Pojmy ISMS - (Information Security Managemet System) - systém řízení bezpečnosti č informací Aktivum - (Asset) - cokoli v organizaci, co má nějakou cenu (hmotná

Více

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005 Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005 Praha květen 2008 2008-03 - Bezpečnost informací jsou aktiva, která mají pro organizaci hodnotu. mohou existovat v různých podobách

Více

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI TÉMA Č. 4 SOUBOR POSTUPŮ PRO MANAGEMENT BEZPEČNOSTI INFORMACÍ POLITIKA A ORGANIZACE BEZPEČNOSTI INFORMACÍ pplk. Ing. Petr HRŮZA, Ph.D. Univerzita obrany, Fakulta ekonomiky

Více

Bezepečnost IS v organizaci

Bezepečnost IS v organizaci Bezepečnost IS v organizaci analýza rizik Zabezpečení informačního systému je nutné provést tímto postupem: Zjistit zranitelná místa, hlavně to, jak se dají využít a kdo toho může zneužít a pravděpodobnost

Více

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha Standardy/praktiky pro řízení služeb informační bezpečnosti Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha Služby informační bezpečnosti Nemožnost oddělit informační bezpečnost od IT služeb

Více

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok ISO 9000, 20000, 27000 Informační management VIKMA07 Mgr. Jan Matula, PhD. jan.matula@fpf.slu.cz III. blok ITSM & Security management standard ISO 9000-1 ISO 9000:2015 Quality management systems Fundamentals

Více

SMĚRNICE DĚKANA Č. 4/2013

SMĚRNICE DĚKANA Č. 4/2013 Vysoké učení technické v Brně Datum vydání: 11. 10. 2013 Čj.: 076/17900/2013/Sd Za věcnou stránku odpovídá: Hlavní metodik kvality Za oblast právní odpovídá: --- Závaznost: Fakulta podnikatelská (FP) Vydává:

Více

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o. Business Continuity Management jako jeden z nástrojů zvládání rizik Ing. Martin Tobolka AEC, spol. s r.o. Co je BCM? Mezi časté příčiny přerušení kontinuity činností patří technická selhání (energie, HW,

Více

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1 POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Verze 2.1 Obsah 1. Úvod... 4 2. Vymezení pojmů... 5 3. Bezpečnostní opatření... 7 3.1. Organizační opatření... 7 3.1.1.

Více

Systém managementu jakosti ISO 9001

Systém managementu jakosti ISO 9001 Systém managementu jakosti ISO 9001 Požadavky na QMS Organizace potřebují prokázat: schopnost trvale poskytovat produkt produkt splňuje požadavky zákazníka a příslušné předpisy zvyšování spokojenosti zákazníka

Více

Úvod - Podniková informační bezpečnost PS1-1

Úvod - Podniková informační bezpečnost PS1-1 VŠFS; Aplikovaná informatika - 2006/2007 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Úvod - Podniková informační bezpečnost PS1-1 VŠFS; Aplikovaná informatika - 2006/2007 2 Osnova I principy informační

Více

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem 16. 5. 2018 Konference k problematice GDPR ve veřejné správě, Národní archiv Praha Implementace

Více

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu. Návrh zákona o kybernetické bezpečnosti Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.cz Předmět úpravy VKB Obsah a strukturu bezpečnostní dokumentace

Více

1. KURZ č. 1 - QMS - Školení a výklad normy ČSN EN ISO 9001:2001. 2. KURZ č. 2 - QMS - Školení interních auditorů QMS a metrologa

1. KURZ č. 1 - QMS - Školení a výklad normy ČSN EN ISO 9001:2001. 2. KURZ č. 2 - QMS - Školení interních auditorů QMS a metrologa Návrh školících modulů pro projekt dotací ESF Tématika norem: - ČSN EN ISO 9001: 2001 Systémy managementu jakosti - Požadavky; - ČSN ISO/IEC 27001:2006 Informační technologie - Bezpečnostní techniky -

Více

Národní příručka Systém řízení bezpečnosti a ochrany zdraví při práci

Národní příručka Systém řízení bezpečnosti a ochrany zdraví při práci ZÆhlav A5 oranzove.qxd 21.10.2003 8:50 StrÆnka 1 MINISTERSTVO PRÁCE A SOCIÁLNÍCH VĚCÍ Národní příručka Systém řízení bezpečnosti a ochrany zdraví při práci new BOZP narod prirucka.qxd 21.10.2003 8:45 StrÆnka

Více

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba KATALOG služeb Ing. Jiří Štěrba Obsah Úvod 3 Služby 4 Zaměření 5 Nabídka 7 Poptávka 8 Ke stažení 9 Reference 10 Informace 11 Kontakty 12 2 Úvod Dovolte, abychom Vám poskytli informace, které jsou věnovány

Více

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok Bezpečnost - úvod Zranitelné místo Slabinu IS využitelnou ke způsobení škod nebo ztrát útokem na IS nazýváme zranitelné místo. Existence zranitelných míst je důsledek chyb, selhání v analýze, v návrhu

Více

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004 CobiT Control Objectives for Information and related Technology Teplá u Mariánských Lázní, 6. října 2004 Agenda Základy CobiT Pojem CobiT Domény CobiT Hodnocení a metriky dle CobiT IT Governance Řízení

Více

Řízení informační bezpečnosti a veřejná správa

Řízení informační bezpečnosti a veřejná správa Řízení informační bezpečnosti a veřejná správa Kladno 1.prosince 2008 Doc.RNDr. Milan BERKA, CSc. Systém řízení informační bezpečnosti Různé certifikace bezpečnosti a jejich význam NBÚ, ISO, Objekty a

Více

Bezpečnostní politika a dokumentace

Bezpečnostní politika a dokumentace Bezpečnostní politika a dokumentace Ing. Dominik Marek Kraj Vysočina Kraj Vysočina správce VIS dle zákona č. 181/2014 o kybernetické bezpečnosti VIS (zatím) Webový portál (Webové stránky kraje) Elektronický

Více

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001 Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001 Hradec Králové duben 2009 2009-03 Informace versus Bezpečnost informací Informace (aktivum) - vše, co má hodnotu pro organizaci Bezpečnost

Více

ČESKÁ TECHNICKÁ NORMA

ČESKÁ TECHNICKÁ NORMA ČESKÁ TECHNICKÁ NORMA ICS 35.040 Červenec 2009 Informační technologie Bezpečnostní techniky Řízení rizik bezpečnosti informací ČSN ISO/IEC 27005 36 9790 Information technology Security techniques Information

Více

RiJ ŘÍZENÍ JAKOSTI L 1 1-2

RiJ ŘÍZENÍ JAKOSTI L 1 1-2 RiJ ŘÍZENÍ JAKOSTI ML 1-2 Normy řady ISO 9000 0 Úvod 1 Předmět QMS podle ISO 9001 2 Citované normativní dokumenty 3 Termíny a definice 4 Systém managementu kvality 5 Odpovědnost managementu 6 Management

Více

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti ehealth Day 2016 16.2.2016 Ing. Stanislav Bíža, Senior IT Architekt, CISA stanislav.biza@cz.ibm.com 12016 IBM Corporation Požadavky

Více

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@email.cz, 603 248 295

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@email.cz, 603 248 295 Zákon o kybernetické bezpečnosti základní přehled Luděk Novák ludekn@email.cz, 603 248 295 Obsah Zákon č. 181/2014 Sb., o kybernetické bezpečnosti Vyhláška č. 316/2014 Sb., vyhláška o kybernetické bezpečnosti

Více

Management informační bezpečnosti

Management informační bezpečnosti Management informační bezpečnosti Definice V Brně dne 3. října 2013 Definice Common Criterta ITIL COBIT CRAMM Přiměřená ábezpečnostč Management informační bezpečnosti 2 Common Criteria Common Criteria

Více

AUDITOR EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.9/2007

AUDITOR EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.9/2007 Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 AUDITOR EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ

Více

Základy řízení bezpečnosti

Základy řízení bezpečnosti Základy řízení bezpečnosti Bezpečnost ve společnosti MND a.s. zahrnuje: - Bezpečnost a ochranu zdraví - Bezpečnost provozu, činností - Ochranu životního prostředí - Ochranu majetku - Ochranu dobrého jména

Více

Zdravotnické laboratoře. MUDr. Marcela Šimečková

Zdravotnické laboratoře. MUDr. Marcela Šimečková Zdravotnické laboratoře MUDr. Marcela Šimečková Český institut pro akreditaci o.p.s. 14.2.2006 Obsah sdělení Zásady uvedené v ISO/TR 22869- připravené technickou komisí ISO/TC 212 Procesní uspořádání normy

Více

Co je a co není implementace ISMS dle ISO a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o.

Co je a co není implementace ISMS dle ISO a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o. Co je a co není implementace ISMS dle ISO 27001 a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o. OBSAH Co je implementace ISMS dle ISO 27001 Proč měřit ISMS? Zdroje pro měření

Více

WS PŘÍKLADY DOBRÉ PRAXE

WS PŘÍKLADY DOBRÉ PRAXE WS PŘÍKLADY DOBRÉ PRAXE ISO 9001 revize normy a její dopady na veřejnou správu Ing. Pavel Charvát, člen Rady pro akreditaci Českého institutu pro akreditaci 22.9.2016 1 ISO 9001 revize normy a její dopady

Více

Věstník ČNB částka 20/2002 ze dne 19. prosince 2002

Věstník ČNB částka 20/2002 ze dne 19. prosince 2002 Třídící znak 1 1 2 0 2 5 1 0 OPATŘENÍ ČESKÉ NÁRODNÍ BANKY Č. 12 ZE DNE 11. PROSINCE 2002 K VNITŘNÍMU ŘÍDICÍMU A KONTROLNÍMU SYSTÉMU BANKY 0 Česká národní banka podle 15 s přihlédnutím k 12 odst. 1 a 8

Více

Státní pokladna. Centrum sdílených služeb

Státní pokladna. Centrum sdílených služeb Státní pokladna Centrum sdílených služeb Státní pokladna Centrum sdílených služeb Organizační dopady při řešení kybernetické bezpečnosti Ing. Zdeněk Seeman, CISA, CISM Obsah prezentace Podrobnější pohled

Více

ISO 9001:2015 CERTIFIKACE ISO 9001:2015

ISO 9001:2015 CERTIFIKACE ISO 9001:2015 CERTIFIKACE ISO 9001:2015 Akreditace UKAS ISO 9001:2015 Požadavky UKAS Zvažování rizik se znalostí kontextu organizace Efektivní vedení (leadership) Méně dokumentace v systému managementu kvality Aplikace

Více

Hodnocení rizik v resortu Ministerstva obrany

Hodnocení rizik v resortu Ministerstva obrany Hodnocení rizik v resortu Ministerstva obrany OBSAH Pojmy používané v procesu řízení rizik v MO Systém řízení rizik Proces řízení rizik Dokumenty systému řízení rizik Pojmy používané v procesu řízení rizik

Více

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007 Gradua-CEGOS, s.r.o., Certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ

Více

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Bezpečnostní aspekty informačních a komunikačních systémů KS2 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní aspekty informačních a komunikačních systémů KS2 VŠFS; Aplikovaná informatika; SW systémy

Více

Zásady managementu incidentů

Zásady managementu incidentů Obsah prezentace Zásady managementu incidentů Úvod, základní pojmy ISO/IEC TR 18044 ISO/IEC TR 18044 ISO/IEC TR 18044 Information technology Security techniques Information security incident management

Více

ČESKÁ TECHNICKÁ NORMA

ČESKÁ TECHNICKÁ NORMA ČESKÁ TECHNICKÁ NORMA ICS 35.040 Červenec 2013 Informační technologie Bezpečnostní techniky Řízení rizik bezpečnosti informací ČSN ISO/IEC 27005 36 9790 Information technology Security techniques Information

Více

Zákon o kybernetické bezpečnosti

Zákon o kybernetické bezpečnosti Zákon o kybernetické bezpečnosti Ing. Ondřej Ševeček GOPAS a.s. MCSM:Directory2012 MCM:Directory2008 MVP:Enterprise Security CEH: Certified Ethical Hacker CHFI: Computer Hacking Forensic Investigator CISA

Více

Obsah. Příloha č. 2: Standardy a doporučení Verze:

Obsah. Příloha č. 2: Standardy a doporučení Verze: Příloha č. 2: Standardy a doporučení Verze: 0.8 4.10.2005 Obsah Obsah... 1 Právní předpisy... 2 Normy, které se týkají informační bezpečnosti... 3 Obecné zásady... 5 Doporučení pro řízení informační bezpečnosti...

Více

ČESKÁ TECHNICKÁ NORMA

ČESKÁ TECHNICKÁ NORMA ČESKÁ TECHNICKÁ NORMA ICS 01.040.35; 35.040 Říjen 2014 Informační technologie Bezpečnostní techniky Systémy řízení bezpečnosti informací Přehled a slovník ČSN ISO/IEC 27000 36 9790 Information technology

Více

OCTAVE ÚVOD DO METODIKY OCTAVE

OCTAVE ÚVOD DO METODIKY OCTAVE OCTAVE ÚVOD DO METODIKY OCTAVE Velká závislost organizací na informačních systémech s sebou přináší také nemalé požadavky na zabezpečení zpracovávaných a uložených informací. Důvěrnost, dostupnost a integrita

Více

Projektové řízení a rizika v projektech

Projektové řízení a rizika v projektech Projektové řízení a rizika v projektech Zainteresované strany Zainteresované strany (tzv. stakeholders) jsou subjekty (organizace, lidé, prostory, jiné projekty), které realizace projektu ovlivňuje. Tyto

Více

Bezpečnostní politika informací v ČSSZ

Bezpečnostní politika informací v ČSSZ Č. j.: 11 1700 2.6.2006/1641 Praze dne 9.6.2006 SMĚRNICE ŘEDITELE ODBORU BEZPEČNOSTNÍ POLITIKY č. 11/2006 Bezpečnostní politika informací v ČSSZ O B S A H : Čl. 1 Úvodní ustanovení Čl. 2 Cíle a zásady

Více

Bezpečností politiky a pravidla

Bezpečností politiky a pravidla Bezpečností politiky a pravidla (interní dokument) pro Subjekt: Apartmány Šnek s.r.o. IČO: 05705932, DIČ: CZ05705932 a tyto provozovny: Apartmány Šnek Benecko 107 51237 Výše uvedený Subjekt určuje následující

Více

Procesy, procesní řízení organizace. Výklad procesů pro vedoucí odborů krajského úřadu Karlovarského kraje

Procesy, procesní řízení organizace. Výklad procesů pro vedoucí odborů krajského úřadu Karlovarského kraje Procesy, procesní řízení organizace Výklad procesů pro vedoucí odborů krajského úřadu Karlovarského kraje Co nového přináší ISO 9001:2008? Vnímání jednotlivých procesů organizace jako prostředku a nástroje

Více

1. Politika integrovaného systému řízení

1. Politika integrovaného systému řízení 1. Politika integrovaného systému řízení V rámci svého integrovaného systému řízení (IMS) deklaruje společnost AARON GROUP spol. s r.o. jednotný způsob vedení a řízení organizace, který splňuje požadavky

Více

Řízení kybernetické a informační bezpečnosti

Řízení kybernetické a informační bezpečnosti Řízení kybernetické a informační bezpečnosti Martin Hanzal předseda sekce Kybernetická a informační bezpečnost AOBP CEVRO Institut, 22. dubna 2014 Sekce Kybernetická a informační bezpečnost Je nevládní,

Více

MONITORING NEKALÝCH OBCHODNÍCH PRAKTIK

MONITORING NEKALÝCH OBCHODNÍCH PRAKTIK MONITORING NEKALÝCH OBCHODNÍCH PRAKTIK Dodržují vaši obchodníci a prodejní zástupci vaše obchodní podmínky? Uplatňují vaše etické principy všichni zaměstnanci vůči svým zákazníkům? Dostávají vaši zákazníci

Více

Překlad a interpretace pro české prostředí

Překlad a interpretace pro české prostředí Information Security Management Information Risk Management Business Continuity Management Information Forensic Analysis RISK ANALYSIS CONSULTANTS BS ISO/IEC 27001:2005 Information Security Management

Více

EMS - Systém environmentálního managementu. Jiří Vavřínek CENIA

EMS - Systém environmentálního managementu. Jiří Vavřínek CENIA EMS - Systém environmentálního managementu Jiří Vavřínek CENIA Osnova Použití normy a přínosy Demingůvcyklus (PDCA) Hlavní principy a prvky EMS / ISO 14001 Zainteresované strany Požadavky na management/ekology

Více

Pelantová Věra Technická univerzita v Liberci. Předmět RJS. TU v Liberci

Pelantová Věra Technická univerzita v Liberci. Předmět RJS. TU v Liberci Tento materiál vznikl jako součást projektu, který je spolufinancován Evropským sociálním fondem a státním rozpočtem ČR. Řízení kvality Pelantová Věra Technická univerzita v Liberci Předmět RJS Technická

Více

Co musí zahrnovat dokumentace systému managementu kvality? 1 / 5

Co musí zahrnovat dokumentace systému managementu kvality? 1 / 5 ISO 9000:2005 definuje třídu jako 1) kategorie nebo pořadí dané různým požadavkem na kvalitu produktů, procesů nebo systémů, které mají stejné funkční použití 2) kategorie nebo pořadí dané různým požadavkům

Více

Vzdělávání pro bezpečnostní systém státu

Vzdělávání pro bezpečnostní systém státu KOMUNIKAČNÍ A INFORMAČNÍ SYSTÉMY A JEJICH BEZPEČNOST TÉMA Č. 20 BEZPEČNOST INFORMACÍ MOŽNOSTI VZNIKU INCIDENTŮ A JEJICH TYPY pplk. Ing. Petr HRŮZA, Ph.D. Univerzita obrany, Fakulta ekonomiky a managementu

Více

Proč ochrana dat a informací není běžnou součástí každodenního života? Martin HANZAL SODATSW spol. s r.o.

Proč ochrana dat a informací není běžnou součástí každodenního života? Martin HANZAL SODATSW spol. s r.o. Proč ochrana dat a informací není běžnou součástí každodenního života? Martin HANZAL SODATSW spol. s r.o. Obsah příspěvku Hledání odpovědí hlavně na otázky: Co v současnosti běžně děláme pro ochranu dat

Více

Informační bezpečnost. Dana Pochmanová, Boris Šimák

Informační bezpečnost. Dana Pochmanová, Boris Šimák Informační bezpečnost Dana Pochmanová, Boris Šimák 10.5. 2017 Agenda Bezpečnost informací IT rizika Klíčové role IT bezpečnosti v organizaci Bezpečný vývoj IS Normy a standardy v oblasti IT bezpečnosti

Více

Obecné nařízení o ochraně osobních údajů

Obecné nařízení o ochraně osobních údajů AGORA PLUS, a.s. Ing. Martin Havel, MBA General Data Protection Regulation (zkráceně GDPR) Obecné nařízení o ochraně osobních údajů Jak zvládnout GDPR v 9-ti krocích 22.9.2017, Brno Představení 2012 CISM

Více

of practice for information security management Překlad a interpretace pro české prostředí

of practice for information security management Překlad a interpretace pro české prostředí Information Security Management Information Risk Management Business Continuity Management Information Forensic Analysis RISK ANALYSIS CONSULTANTS BS ISO/IEC 27002:2005 Information Security Management

Více

Co je riziko? Řízení rizik v MHMP

Co je riziko? Řízení rizik v MHMP Co je riziko? Hrozba, že při zajišťování činností nastane určitá událost, jednání nebo stav s následnými nežádoucími dopady na plnění stanovených povinností, úkolů a schválených záměrů a cílů SPÚ. Je definováno

Více

Bezpečnost na internetu. přednáška

Bezpečnost na internetu. přednáška Bezpečnost na internetu přednáška Autorské právo a bezpečnost na internetu Bezpečnost informačního systému školy Ing. Ludmila Kunderová Ústav informatiky PEF MENDELU v Brně lidak@pef.mendelu.cz internetu

Více

Platná od Bezpečnostní politika. Deklarace

Platná od Bezpečnostní politika. Deklarace Platná od 1. 5. 2016 Bezpečnostní politika Deklarace 2 Swiss Life Select Bezpečnostní politika Deklarace 1. Předmět a účel Předmětem této Bezpečnostní politiky je definovat celkový rámec a pravidla pro

Více

Příklad I.vrstvy integrované dokumentace

Příklad I.vrstvy integrované dokumentace Příklad I.vrstvy integrované dokumentace...víte co. Víme jak! Jak lze charakterizovat integrovaný systém managementu (ISM)? Integrovaný systém managementu (nebo systém integrovaného managementu) je pojem,

Více

Politika bezpečnosti informací

Politika bezpečnosti informací ORGANIZAČNÍ SMĚRNICE Název: Politika bezpečnosti informací Číslo dokumentu: OS4402 Vydání č.: 06 Výtisk č.: 01 Platnost od: 15.04.2016 Účinnost od: 29.04.2016 Platnost do: Zpracoval: Ing. Vladimír Fikejs

Více

Fyzická bezpečnost. Bezpečnost informací v ČR. Ing. Oldřich Luňáček, Ph.D. oldrich.lunacek@unob.cz

Fyzická bezpečnost. Bezpečnost informací v ČR. Ing. Oldřich Luňáček, Ph.D. oldrich.lunacek@unob.cz Fyzická bezpečnost Bezpečnost informací v ČR Ing. Oldřich Luňáček, Ph.D. oldrich.lunacek@unob.cz Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg.

Více

Označení: Počet listů: 5 Verze: 1.0 SMĚRNICE ISMS. Název: Pravidla pro uživatele IT systémů. Vytvořil: Schválil: Účinnost od:

Označení: Počet listů: 5 Verze: 1.0 SMĚRNICE ISMS. Název: Pravidla pro uživatele IT systémů. Vytvořil: Schválil: Účinnost od: SMĚRNICE ISMS Označení: Počet listů: 5 Verze: 1.0 Název: Pravidla pro uživatele IT systémů Vytvořil: Schválil: Účinnost od: Obsah: 1. Účel 2. Rozsah platnosti 3. Použité zkratky a pojmy 3.1. Zkratky 4.

Více

Klíčové aspekty životního cyklu essl

Klíčové aspekty životního cyklu essl Klíčové aspekty životního cyklu essl Zbyšek Stodůlka Praha, 22. 3. 2016 Spisová služba v elektronické podobě - během tzv. přechodného období (1. 7. 2009-1. 7. 2012) povinnost určených původců uvést výkon

Více

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI Gradua-CEGOS, s.r.o. člen skupiny Cegos Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER BOZP

Více

Zkouška ITIL Foundation

Zkouška ITIL Foundation Zkouška ITIL Foundation Sample Paper A, version 5.1 Výběr z více možností Pokyny 1. Měli byste se pokusit odpovědět na všech 40 otázek. 2. Všechny svoje odpovědi vyznačte na samostatný formulář, který

Více

Dokumentace pro plánování a realizaci managementu jakosti dle požadavků

Dokumentace pro plánování a realizaci managementu jakosti dle požadavků Dokumentace pro plánování a realizaci managementu jakosti dle požadavků Požadavek norem ISO 9001 ISO/TS 16949 : 4.2 na dokumentaci Dokumentace systému managementu jakosti musí zahrnovat: a) dokumentované

Více

ČESKÁ TECHNICKÁ NORMA

ČESKÁ TECHNICKÁ NORMA ČESKÁ TECHNICKÁ NORMA ICS 35.040 Září 2014 Informační technologie Bezpečnostní techniky Soubor postupů pro opatření bezpečnosti informací ČSN ISO/IEC 27002 36 9798 Information Technology Security techniques

Více

5 ZÁKLADNÍ PRINCIPY SYSTÉMOVÉHO ŘÍZENÍ BOZP

5 ZÁKLADNÍ PRINCIPY SYSTÉMOVÉHO ŘÍZENÍ BOZP 5 ZÁKLADNÍ PRINCIPY SYSTÉMOVÉHO ŘÍZENÍ BOZP Zaměstnavatelé mají zákonnou povinnost chránit zdraví a životy svých zaměstnanců a ostatních osob vyskytujících se na jejich pracovištích. Další důležitou povinností

Více

Bezpečnostní politika společnosti synlab czech s.r.o.

Bezpečnostní politika společnosti synlab czech s.r.o. Bezpečnostní politika společnosti synlab czech s.r.o. Platnost dokumentu: 1. března 2016 Datum vypracování: 2. února 2016 Datum schválení: 29. února 2016 Vypracoval: Schválil: Bc. Adéla Wosková, Ing. Jaroslav

Více

Systém řízení informační bezpečnosti (ISMS)

Systém řízení informační bezpečnosti (ISMS) Systém řízení informační bezpečností (ISMS) RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost,

Více

Řízení rizik ICT účelně a prakticky?

Řízení rizik ICT účelně a prakticky? Řízení rizik ICT účelně a prakticky? Luděk Novák, Petr Svojanovský, ANECT a.s. ISSS 12. 13. dubna 2010, Hradec Králové OBSAH Proč řízení rizik ICT? Základní prvky řízení rizik ICT Příklady ohodnocení Potřeby

Více

Příručka jakosti a environmentu

Příručka jakosti a environmentu Příručka jakosti a environmentu Datum platnosti: Datum účinnosti: Změna: 1.5.2005 1.5.2005 0 Dne: 13.4.2005 Dne: 25.4.2005 1 / 6 O B S A H : 1. Úvod 3 2. Oblast použití systému řízení 3 3. Politika 3 4.

Více

Bezpečnostní normy a standardy KS - 6

Bezpečnostní normy a standardy KS - 6 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní normy a standardy KS - 6 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 2 Osnova historický

Více

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P R O S T Ř E D Í ZoKB a cloudové služby Je možné zajistit

Více

Vnitřní kontrolní systém a jeho audit

Vnitřní kontrolní systém a jeho audit Vnitřní kontrolní systém a jeho audit 7. SETKÁNÍ AUDITORŮ PRŮMYSLU 11. 5. 2012 Vlastimil Červený, CIA, CISA Agenda Požadavky na VŘKS dle metodik a standardů Definice VŘKS dle rámce COSO Role interního

Více

POŽADAVKY NORMY ISO 9001

POŽADAVKY NORMY ISO 9001 Kapitola Název Obsah - musí MUSÍ MŮŽE NESMÍ Záznam POČET Dokumentovaný postup Obecné požadavky staus národní normy 1 Předmluva požadavek organizacím, které musí dodržovat evropské směrnice 2 1 0.2 Procesní

Více