projektu implementace ISMS
|
|
- Blažena Macháčková
- před 5 lety
- Počet zobrazení:
Transkript
1 Obsah dodatku p redna sky Projekt implementace ISMS, Dodatek 2, Poznamky k projektovemu r zen 2 Podrobny popis kroku/v ystup u Projektu implementace ISMS 2 Poznamky, doporu cen k integraci ISMS s ostatn mi systemy organizace 2 Poznamky, doporu cen k postupum r zen projektu PV 017 Bezpe cnost IT Jan Staudek } w A y < / -., )+ ( %&' $ #!" Æ Verze : podzim 2018 Jan Staudek, FI MU Brno Faze projektu implementace ISMS PV017 { Projekt implementace ISMS, dodatek 1 D l c kroky faz projektu implementace ISMS 1. Z skan souhlasu veden organizace pro zahajen implem. ISMS 1.1 Objasn en priorit organizace pro projekt ISMS 1.2 P redb ez na denice oblasti pusobnosti ISMS 1.3 Vytvo ren zakazky a planu projektu implementace ISMS pro odsouhlasen veden m organizace 2. Denovan oblasti pusobnosti ISMS a politiky ISMS 2.1 Denovan oblasti a hranic inf. bezpe cnosti v organizaci 2.2 Denovan oblasti a hranic informa cn ch a komunika cn ch technologi (ICT) 2.3 Denovan fyzicke oblasti a hranic 2.4 Integrace v sech oblast a hranic do oblasti a hranic ISMS 2.5 Vyvoj politiky ISMS a z skan souhlasu od veden Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 2 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 3
2 Dlc kroky f az projektu implementace ISMS 3. Anal yza pozadavk u organizace na informacn bezpecnost 3.1 Denov an pozadavk u organizace na inf. bezpecnost 3.2 Identikace aktiv v oblasti p usobnosti ISMS 3.3 Ohodnocen informacn bezpecnosti 4. Ohodnocen rizik a vypracov an pl anu zvl adnut rizik 5. N avrh ISMS Dlc kroky f az projektu implementace ISMS 5.1 N avrh informacn bezpecnosti v organizaci 5.2 N avrh fyzick e a ICT informacn bezpecnosti 5.3 N avrh informacn bezpecnosti specick e pro ISMS 5.4 Vytvoren n alnho pl anu projektu ISMS 4.1 Ohodnocen rizik 4.2 V yber cl u opatren a opatren 4.3 Zsk an souhlasu veden organizace s implementac a provozov anm ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 4 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 5 1. Zsk an souhlasu veden organizace pro zah ajen projektu Veden organizace mus pochopit smysl zak azky projekt implementace ISMS a zak azku schv alit Clem uvodn f aze je umoznit veden organizace pochopit v yznam ISMS a vyjasnit role a odpov ednosti v informacn bezpecnosti v organizaci potrebn e k realizaci projektu implementace ISMS. Kroky 1. Zsk an souhlasu veden organizace pro zah ajen projektu Ocek avan y v ystup t eto uvodn f aze predbezn e schv alen projektu ISMS vedenm organizace a z avazek veden organizace ISMS implementovat denice zak azky projekt implementace ISMS a predbezn eho pl anu projektu ISMS s klcov ymi milnky 1.1 Objasnění priorit organizace pro projekt ISMS 1.2 Předběžná definice oblasti působnosti ISMS 1.3 Vytvoření zakázky a plánu projektu pro odsouhlasení vedením organizace Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 6 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 7
3 1.1 Objasn en priorit organizace pro projekt ISMS Strategick e cle organizace Prehled existujcch syst em u rzen v organizaci Seznam pr avnch, regulacnch a smluvnch pozadavk u na informacn bezpecnost vztahujc se na organizaci Cle implementace ISMS se odvod z odpov ed na ot azky Jak ISMS zajist leps rzen rizik informacn bezpecnosti? Jak ISMS zleps rzen informacn bezpecnosti? Jakou konkurencn v yhodu pro organizaci m uze ISMS vytvorit? Priority a pozadavky na informacn bezpecnost ovliv nuj faktory co jsou kritick e oblasti (podnik an, organizace)? existuj vztahy a dohody s tretmi stranami? 1.1 Objasn en priorit organizace pro projekt ISMS existuj outsourcovan e sluzby? kter a informacn aktiva jsou kritick a? jak e by byly pravdepodobn e d usledky, pokud by se nekter e informace zprstupnily nepovolan ym osob am (napr. ztr ata konkurencn v yhody, poskozen znacky a povesti, zaloba,... )? kter e z akony vztahujc se ke zvl ad an rizik se vztahuj na organizaci? m a organizace charakter verejn e organizace s otevren ym nancov anm? jak e jsou pozadavky na uloziste dat (vcetne doby uchov av an)? existuj nejak e smluvn z avazky t ykajc se soukrom nebo kvality (napr. smlouva o urovni sluzeb, SLA, Service Level Agreement) jak y druh ochrany je zapotreb proti kter ym hrozb am? jak e jsou r uzn e kategorie informac, kter e vyzaduj ochranu? jak e jsou typy informacnch aktivit, kter e je treba chr anit? Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 8 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek Objasn en priorit organizace pro projekt ISMS 1.2 Predb ezn a denice oblasti p usobnosti ISMS kter a opatren v oblasti informacn bezpecnosti by mely prin est konkurencn v yhodu pro organizaci? kter e podnikatelsk e procesy jsou klcov e z pohledu pozadavku zachov an kontinuity podnik an? jak dlouho m uze organizace tolerovat prerusen kazd eho kritick eho podnikatelsk eho procesu? V ystup dokument shrnujc cle, priority informacn bezpecnosti, person aln a organizacn predpoklady pro ISMS seznam predpis u, smluvnch a technick ych pozadavk u t ykajcch se informacn bezpecnosti organizace popisn a charakteristika cinnosti organizace, jejho umsten, majetku (aktiv) a technologi organizace v ystup 1.1 Objasnění priorit organizace pro projekt ISMS seznam subjekt u, kter e budou mt prospech z v ysledk u projektu ISMS Predb ezn a denice oblasti p usobnosti ISMS zahrnuje Seznam kritick ych podnikatelsk ych proces u, syst em u, informacnch aktiv, organizacnch struktur a lokalit, na kter e se bude aplikovat ISMS popis jak c asti v oblasti spolupracuj s dalsmi syst emy rzen Charakteristiky podnik an, organizace, lokality, aktiv a technologi Denice rol a odpovednost v predbezn e oblasti ISMS Veden by melo explicitne stanovit roli (typicky Chief Information Security Officer, Information Security Manager apod.) s celkovou odpovednost za rzen informacn bezpecnosti a zamestnanc um by mely b yt prirazeny role a povinnosti zalozen e na dovednostech potrebn ych k v ykonu jejich pr ace Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 10 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 11
4 1.2 Predb ezn a denice oblasti p usobnosti ISMS 1.3 Vytvoren zak azky a pl anu projekt implementace Celkov a odpovednost za plnen ukol u prirozene z ust av a na veden, ale jedna osoba (obvykle Chief Information Security Officer) je poverena p ec o procesy zajist'ujc informacn bezpecnost Kazd y zamestnanec je stejne zodpovedn y jak za sv e pracovn v ykony, tak za udrzen informacn bezpecnosti na pracovisti a v organizaci Vztah st avajcch syst em u rzen, regulacnch a organizacnch cl u, predpis u, kter ym se mus vyhovet,... dokument, kter y predbezne popisuje oblast p usobnosti ISMS v ystupy 1.1 Objasnění priorit organizace pro projekt ISMS v ystupy 1.2 Předběžná definice oblasti ISMS { oblast p usobnosti, role, odpovednosti Vytvoren zak azky a inici alnho pl anu projektu implementace ISMS slouz jako z akladna projektu a tak e zajist'uje z avazek veden a schv alen vedenm zdroj u potrebn ych pro implementaci ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 12 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek Vytvoren zak azky a pl anu projektu Zak azku charakterizuje prohl asen pokr yvajc t emata strategick e a konkr etn cle prnosy pro organizaci predbezne vymezen a oblast ISMS vcetne dotcen ych podn. proces u kritick e procesy a faktory pro dosazen konkr etnch cl u ISMS konceptu aln popis projektu inici aln pl an implementace denovan e role a odpovednosti pozadovan e zdroje (technologie a lid e) rozvaha o implementaci zvazujc rovnez st avajc inf. bezpecnost casov a osa s d ulezit ymi milnky predpokl adan e n aklady kritick e faktory uspechu kvantikace prnos u pro organizaci 1.3 Vytvoren zak azky a pl anu projektu dokumentovan e schv alen realizace projektu implementace ISMS a pridelen ych zdroj u vedenm organizace oci aln, dokumentovan e vytvoren zak azky Inici aln n avrh projektu ISMS s meznky typu { proveden ohodnocen rizik, { implementace, { intern audity { prezkoum an vedenm {... Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 14 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 15
5 F aze projektu implementace ISMS { v ystupy krok u 1. f aze 2. Denov an oblasti p usobnosti ISMS a politiky ISMS Cl Presne denovat oblast p usobnosti a hranice ISMS, a vyvinout politiku ISMS a zskat odsouhlasen od veden Detailn e se vymez oblast p usobnosti ISMS a politika ISMS s ohledem na kritick a informacnch aktiva organizace a zsk a se odsouhlasen vedenm organizace Kroky 2.1 Definování oblasti a hranic organizace 2.2 Definování oblasti a hranic informačních a komunikačních technologií (ICT) 2.3 Definování fyzické oblasti a jejích hranic 2.4 Integrace všech oblastí a hranic do oblasti a hranic ISMS 2.5 Vývoj politiky ISMS a získání souhlasu od vedení Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 16 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek Denov an oblasti a hranic organizace v ystup 1.2 Předběžná definice oblasti působnosti ISMS v ystup 1.1 Objasnění priorit organizace pro projekt ISMS Denuj se oblast a hranice p usobnosti ISMS v organizaci popis hranice organice pro ISMS, vcetne od uvodnen proc a kter e c asti organizace byly vylouceny z oblasti p usobnosti ISMS, popis funkce a struktury c ast organizace v oblasti p usobnosti ISMS, identikace informac vyme novan ych v oblasti a informac vyme novan ych pres hranice oblasti p usobnosti ISMS organizace proces u a odpovednosti za informacn aktiva v oblasti p usobnosti ISMS a mimo tuto oblast proces hierarchie rozhodov an a struktura ISMS. 2.2 Denov an oblasti a hranic ICT v ystup 1.2 Předběžná definice oblasti působnosti ISMS v ystup 2.1 Definování oblasti a hranic organizace Denuj se ICT v oblast p usobnosti ISMS v organizaci V ystup Popis informac vyme novan ych v oblasti v r amci a informac vyme novan ych pres hranice oblasti hranice ICT pro ISMS, vcetne prpadn eho od uvodnen vyloucen nekter ych ICT organizace z oblasti ISMS informacn syst emy a telekomunikacn ste, popis, co se nach az v oblasti p usobnosti ISMS, vc. rol a odpovednost za tyto syst emy Strucn y popis syst em u mimo oblast p usobnosti ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 18 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 19
6 2.3 Denov an fyzick e oblasti a hranic ISMS 2.3 Denov an fyzick e oblasti a hranic ISMS v ystup 1.2 Předběžná definice oblasti působnosti ISMS v ystup 2.1 Definování oblasti a hranic organizace v ystup 2.2 Definování oblasti a hranic ICT Vedle denov an fyzick e oblasti a hranic ISMS je nutno respektovat vzd alen a zarzen z akaznick a rozhran rozhran informacnch syst em u a sluzeb poskytovan ych sluzeb tretmi stranami rozhran a urovne sluzeb funkce nebo popisy proces u s prihl ednutm k jejich fyzick ym umstenm a oblasti spravovan e organizac zvl astn zarzen pouzvan a pro skladov an ci uchov av an ICT hardware nebo vnitrnch dat (napr. na archivnch p ask ach) na z aklade pokryt hranic ICT. Nen-li jedna nebo vce z v yse uveden ych polozek rzena organizac, ale tret stranou, mus to b yt r adne zdokumentov ano V ystup popis fyzick ych hranic ISMS, vcetne prpadn eho od uvodnen vyloucen nekter ych lokalit organizace z oblasti ISMS popis organizace a jejich geograck ych charakteristik souvisejcch s denic hranic oblasti p usobnosti ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 20 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek Integrace vsech oblast a hranic do oblasti a hranic ISMS v ystup 1.2 Předběžná definice oblasti působnosti ISMS v ystup 2.1 Definování oblasti a hranic organizace v ystup 2.2 Definování oblasti a hranic ICT v ystup 2.3 Definování fyzické oblasti a hranic ISMS Integrace Oblast p usobnosti ISMS lze popsat a zd uvodnit mnoha zp usoby Naprklad se vybere se fyzick a lokalita typu datacentrum nebo kancel ar a popisuj se zde p usobc kritick e procesy, z nichz kazd y zasahuje i do uzem mimo takovou lokalitu a tato uzem proto zan as do oblasti p usobnosti ISMS. Takov ym kritick ym procesem m uze b yt, naprklad, mobiln prstup do centr alnho informacnho syst emu. 2.4 Integrace vsech oblast a hranic do oblasti a hranic ISMS dokument popisujc oblast a hranice ISMS, obsahujc { klcov e charakteristiky organizace (jej funkce, struktura, sluzby, aktiva a oblast a hranice odpovednosti za kazd e aktivum) { procesy organizace cinn e v oblasti p usobnosti ISMS { kongurace zarzen a st v oblasti p usobnosti ISMS { predbezn y seznam informacnch aktiv v oblasti p usobnosti ISMS { seznam ICT aktiv v oblasti p usobnosti ISMS (napr. servery) { mapy lokalit v oblasti p usobnosti ISMS, s uvedenm fyzick ych hranic ISMS { popisy rol a odpovednost popisy ISMS a jejich vztahy se strukturou organizace { podrobnosti a zd uvodnen prpadn ych v yjimek z oblasti p usobnosti ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 22 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 23
7 2.5 V yvoj politiky ISMS a zsk an souhlasu od veden v ystup kroku 2.4 Integrace všech oblastí a hranic do oblasti působnosti a hranic ISMS v ystup kroku 1.1 Objasnění priorit organizace pro projekt ISMS v ystup kroku 1.3 Vytvoření zakázky a plánu projektu Mus se vypracovat politika ISMS a mus se zskat schv alen veden Denov an politiky ISMS mus vzt do uvahy stanoven cl u ISMS na z aklade pozadavk u organizace a priorit v oblasti informacn bezpecnosti organizace stanoven smeru a vodtek k akcm resen ym k dosazen cl u ISMS 2.5 V yvoj politiky ISMS a zsk an souhlasu od veden zv azen pozadavk u organizace, pr avnch nebo regulacnch a smluvnch z avazk u t ykajc se informacn bezpecnosti kontext rzen rizik v r amci organizace stanoven krit eri pro hodnocen rizik a denov an struktury ohodnocen rizik objasnen nejvyssmu managementu odpovednosti z pohledu ISMS zsk an souhlas veden organizace Dokument, kter y popisuje dokumentovanou politiku ISMS schv alenou vedenm Dokument m a b yt potvrzen znovu, v pozdejs f azi projektu, protoze je z avisl y na v ysledku hodnocen rizik Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 24 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 25 F aze projektu implementace ISMS { v ystupy krok u 2. f aze 3. Anal yza pozadavk u organizace na informacn bezpecnost Pro denov an relevantnch pozadavk u podporovan ych ISMS se mus identikovat informacn aktiva a zskat aktu aln stav informacn bezpecnosti v oblasti p usobnosti ISMS Kroky 3.1 Definování požadavků organizace na inf. bezpečnost 3.2 Identifikace aktiv v oblasti působnosti ISMS 3.3 Ohodnocení informační bezpečnosti Shrom azd en e informace mus veden organizace sdelit datum zah ajen projektu identikovat a dokumentovat podmnky pro realizaci projektu poskytnout jasne a srozumitelne popsan e vybaven organizace respektovat konkr etn okolnosti a situaci organizace identikovat pozadovan e urovne ochrany informac stanovit soubor informac potrebn ych pro celou nebo pro c ast organizace nach azejc se v oblasti implementace Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 26 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 27
8 3.1 Denov an pozadavk u organizace na inf. bezpecnost v ystup 1.1 Objasnění priorit organizace pro projekt ISMS v ystup 2.4 Integrace všech oblastí a hranic do oblasti a hranic ISMS v ystup 2.5 Vývoj politiky ISMS a získání souhlasu od vedení { politika ISMS Zdroje denice predbezn a identikace d ulezit ych informacnch aktiv a jejich aktu alnho zabezpecen identikace vize organizace a odvozen dopadu zjisten ych viz na budouc pozadavky na zpracov an informac anal yza st avajcch forem zpracov an informac, syst emov ych aplikac, komunikacnch st, lokalit aktivit a IT zdroje, Denov an pozadavk u organizace na inf. bezpecnost identikace vsech podstatn ych pozadavk u (pr avn a regulatorn pozadavky, smluvn z avazky, pozadavky organizace, pr umyslov e standardy, z akaznick e a dodavatelsk e smlouvy, pojistn e podmnky) zjisten urovne povedom o informacn bezpecnosti v kazd e provozn a administrativn jednotce organizace a odvodit pozadavky na vzdel av an a odbornou prpravu identikace hlavnch proces u, funkc, lokalit, informacnch syst em u a komunikacnch st a informacnch aktiv organizace klasikace kritick ych proces u a aktiv pozadavky na informacn bezpecnost odvozen e od pr avnch, regulatornch a smluvnch z avazk u organizace seznam verejne zn am ych zranitelnost, kter e budou reseny splnenm pozadavk u na informacn bezpecnost pozadavky na skolen a vzdel av an v informacn bezpecnosti Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 28 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek Identikace aktiv v oblasti p usobnosti ISMS v ystup 2.4 Integrace všech oblastí a hranic do oblasti a hranic v ystup 2.5 Vývoj politiky ISMS a získání souhlasu od vedení v ystup 3.1 Definování požadavků organizace na inf. bezpečnost Pro identikaci aktiv v oblasti ISMS je uv est informace: jedinecn e jm eno procesu popis procesu a souvisejc cinnosti (tvorba, ukl ad an, prenos, rusen) kriticnost proces v uci organizaci (kritick y, d ulezit y, podporujc) vlastnk procesu (organizacn slozka) procesy poskytujc vstupy a v ystupy tohoto procesu IT aplikace podporujc tento proces informacn klasikace aktiv (d uvernost, integrita, dostupnost, rzen prstupu, nepopiratelnost, a / nebo dals d ulezit e vlastnosti pro organizaci, naprklad, jak dlouho se informacn aktivum m a uchov avat) 3.2 Identikace aktiv v oblasti p usobnosti ISMS identikace informacnch aktiv hlavnch proces u organizace v oblasti p usobnosti ISMS Klasikace kritick ych proces u a informacnch aktiv Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 30 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 31
9 3.3 Ohodnocen informacn bezpecnosti v ystup 2.4 Integrace všech oblastí a hranic do oblasti a hranic v ystup 2.5 Vývoj politiky ISMS a získání souhlasu od vedení v ystup 3.1 Definování požadavků organizace na inf. bezpečnost v ystup 3.2 Identifikace aktiv v oblasti působnosti ISMS prov ad na z aklad e porovn an skutecn eho stavu informacn bezpecnosti organizace s pozadovan ymi cli organizace postup je n asledujc: vyberou se d ulezit e podnikov e procesy a procesn kroky souvisejc s pozadavky na informacn bezpecnost vytvor se komplexn blokov e sch ema pokr yvajc hlavn procesy organizace vcetne (logick e a technick e) infrastruktury, pokud jiz nen hotov e nebo udelan e pri anal yze organizace 3.3 Ohodnocen informacn bezpecnosti diskuse s relevantnmi klcov ymi pracovnky a anal yza soucasn e situace organizace z pohledu pozadavk u na informacn bezpecnost. Naprklad, kter e procesy jsou kritick e, jak funguj soucasn e dobe? (V ysledky se pozdeji pouzij pri ohodnocen rizika.) stanov se nedostatky opatren porovn anm st avajcch opatren s drve identikovan ymi pozadavky na opatren zkompletuje se a zdokumentuje soucasn y stav. dokument shrnujc ohodnocen y stav zabezpecen organizace a hodnocen zranitelnost Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 32 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 33 F aze projektu implementace ISMS { v ystupy krok u 3. f aze 4. Ohodnocen rizik a vypracov an pl anu zvl adnut rizik Denuje se metodika ohodnocen rizik, identikuj se, analyzuj se a hodnot se rizika informacn bezpecnosti, aby se mohly vybrat varianty zvl ad an rizik, cle opatren a vlastn opatren Kroky 4.1 Ohodnocení rizik 4.2 Výběr cílů opatření a opatření 4.3 Získání souhlasu vedení organizace s implementací a provozováním ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 34 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 35
10 4.1 Ohodnocen rizik v ystup 3. Analýza požadavků organizace na informační bezpečnost { stav bezpecnosti a seznam aktiv v ystup 2. Definování oblasti působnosti ISMS a politiky ISMS standard ISO/IEC { Rzen rizik Ohodnocen rizik m a identikovat hrozby a jejich zdroje identikovat st avajc a pl anovan e opatren identikovat zranitelnosti, kter e mohou b yt vyuzt hrozby a zp usobit tak skodu na aktivech nebo na organizaci identikovat mozn e dopady utok u na aktiva z hledisek ztr at d uvernosti, integrity, dostupnosti, nepopiratelnosti... ohodnotit dopady informacne bezpecnostnch incident u na podnik an 4.1 Ohodnocen rizik ohodnotit pravdepodobnosti sc en ar u incident u odhadnout urovne rizik porovnat urovne rizik v uci krit erim hodnocen rizik a krit erim prijatelnosti rizik popis metodologie ohodnocen rizik v ysledek ohodnocen rizik Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 36 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek V yber cl u opatren a opatren v ystup 4.1 Ohodnocení rizik standard ISO/IEC standard ISO/IEC je nutn e si uvedomit, ze seznam opatren je velmi pravd epodobn e citlivou informac Seznam cl u opatren a vybran ych opatren Pl an zvl ad an rizik { Popis vztahu mezi riziky a vybran ych volbami resen zvl ad an rizik { Popis vztahu mezi riziky a vybran ych cl u opatren a opatren (rescch snzen rizik) 4.3 Zsk an souhlasu s implementac a provozov anm ISMS v ystup 1.3 Vytvoření zakázky a plánu projektu v ystup 2. Definování oblasti působnosti ISMS a politiky ISMS v ystup 4.1 Ohodnocení rizik { metodologie, v ystup ohodnocen rizik v ystup 4.2 Výběr cílů opatření a opatření Nejvyss management mus rozhodnout o prijet zbytkov eho rizika a mus vydat povolen provozovat ISMS. Tato rozhodnut maj vych azet z ohodnocen rizik a z porovn an dopad u, kter e by mohly nastat po implementaci ISMS s dopady, ke ker ym by doslo bez implementace ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 38 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 39
11 4.3 Zsk an souhlasu s implementac a provozov anm ISMS F aze projektu implementace ISMS { v ystupy krok u 4. f aze psemn e sdelen vedenm o schv alen implementace ISMS rzen prijet zbytkov ych rizik. prohl asen o aplikovatelnosti, Statement of Applicability (SoA) Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 40 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek N avrh ISMS Finalizace pl anu implementace ISMS, n avrh bezpecnosti organizace na z aklad e vybran ych voleb zvl ad an rizik, pozadavk u na dokumentaci, n avrhu opatren integrujcch poskytov an bezpecnosti pro ICT, Kroky fyzick ych proces u a proces u organizace a specick ych pozadavk u na n avrh ISMS 5.1 Návrh informační bezpečnosti v organizaci 5.2 Návrh fyzické a ICT informační bezpečnosti 5.3 Návrh informační bezpečnosti specifické pro ISMS 5.4 Vytvoření finálního plánu projektu ISMS 5.1 N avrh informacn bezpecnosti v organizaci standard ISO/IEC a v ystupy predchozch etap pokryt administrativnch aspekt u informacn bezpecnosti, vcetn e odpov ednosti organizace za zvl ad an rizik. N avrh n aln struktury organizace z pohledu informacn bezpecnosti, v kazd em oddelen mus b yt nekdo zodpovedn y za informacn bezpecnost a osoba odpovedn a za meren ISMS N avrh prostred pro dokumentaci ISMS N avrh politiky informacn bezpecnosti Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 42 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 43
12 5.1 N avrh informacn bezpecnosti v organizaci V yvoj standard u (predpis u) a procedur informacn bezpecnosti Sestava aktivit koncc v politik ach, clech, procesech a postupech zvl ad an a zlepsov an informacn bezpecnosti na z aklade potreb a rizik organizaci. struktura organizace, role a odpovednosti rol dokument shrnujc pozadavky na data ISMS z aznam u a dokumentaci opatren, denujc uloziste a sablony pro pozadovan e z aznamy o ISMS dokument s politikou informacn bezpecnosti strukturovan y a podrobn y pl an implementace opatren t ykajcch se bezpecnosti organizace jako souc ast konecn eho pl anu projektu ISMS standardy (predpisy) v oblasti informacn bezpecnosti informac procedury pro plnen standard u informacn bezpecnosti 5.2 N avrh fyzick e a ICT informacn bezpecnosti standard ISO/IEC a v ystupy predchozch etap pokryt aspekt u informacn bezpecnosti specicky spojen e s odpov ednost za operace snizujc rizika ICT fyzick a bezpecnost zahrnuje aspekty informacn bezpecnosti specicky souvisejc s odpov ednost za manipulaci s fyzick ym prostredm (budovy a jejich infrastruktura snizujc rizika). Mus se splnit pozadavky stanoven e organizac a technickou implementac opatren snizujcch rizika strukturovan y a podrobn y pl an implementace t ykajcch se informacnch a komunikacnch technologi a fyzick e bezpecnosti jako souc ast pl anu projektu ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 44 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek N avrh informacn bezpecnosti specick e pro ISMS v ystup 2.5 a 5.1 { politika ISMS v ystup 4.3 { prohl asen o aplikovatelnosti, Statement of Applicability (SoA) obsahujc cle opatren a vybran a opatren standard ISO/IEC { jak merit ucinnost ISMS 5.3 N avrh informacn bezpecnosti specick e pro ISMS vstupy potrebn e k prezkoum an ISMS managementem procedury pro prezkoum an ISMS managementem pokr yvajc audit a monitorov an a meren M a b yt vypracov an pl an zavazujc veden organizace k prezkumu fungov an ISMS a k pr ubezn emu zlepsov an ISMS jedn a se o akce typu monitoring, m eren, intern audit ISMS, vzd el av an a zvysov an pov edom, reakce na incidenty, prezkum vedenm organizace, vylepsov an ISMS vcetn e n apravn ych a preventivnch akc Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 46 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 47
13 5.4 Vytvoren n alnho pl anu projektu ISMS F aze projektu implementace ISMS { v ystupy krok u 5. f aze v ystupy 2.4 Integrace všech oblastí a hranic do oblasti a hranic ISMS 2.5 Vývoj politiky ISMS a získání souhlasu od vedení 5.1 Návrh informační bezpečnosti v organizaci 5.2 Návrh fyzické a ICT informační bezpečnosti 5.3 Návrh informační bezpečnosti specifické pro ISMS pl an aktivit nezbytn ych k prov ad en vybran ych opatren. n aln implementacn pl an projektu ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 48 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 49 Integrace s existujcmi syst emy rzen bezpecnosti ISO pozaduje ISMS budovat sekvencn e implementovat opatren drve nez se dokonc ohodnocen rizik standard nepovoluje Co delat, kdyz v dobe budov an ISMS jiz nejak y syst em ochran funguje? nekter a opatren mohou b yt zbytecne siln a certikace by nemela potvrdit validnost takov eho syst emu mus se akceptovat, ze proveden ohodnocen rizik m uze vynutit eliminaci nekter ych dosud pouzvan ych zbytecne siln ych opatren mus se prov est anal yza nepokryt ych mst (gap analyzis) mezi dosud pouzvan ymi opatrenmi a pozadovan ymi opatrenmi Integrace s existujcmi syst emy rzen bezpecnosti Bottom-up anal yza nepokryt ych mst Vyhovuj dosud pouzvan a opatren pozadavk um Prohl asen o aplikovatelnosti? Top-down anal yza nepokryt ych mst Jsou opatren pozadovan a v Prohl asen o aplikovatelnosti jiz implementovan a? rychlejs postup, snadneji se mohou odhalit a odstranit d ale jiz nepotrebn a opatren Kdy se stane dokument Prohl asen o aplikovatelnosti denitivn? az kdyz se ohodnotila se vsechna rizika, zv azila se a zdokumentovala aplikovatelnost vsech identikovan ych opatren Prohl asen se zacn a tvorit pred implementac prv eho opatren a je hotovo po dokoncen implementace poslednho opatren Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 50 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 51
14 Integrace s existujcmi syst emy rzen kvality Z adouc je integrace v co nejsirsm rozsahu Syst em dokumentace ISMS m a rozsrit syst em zaveden y pro rzen kvality (ISO 9001) a b yt nov ym, specick ym syst emem dokumentace pro ISMS pokud syst em rzen kvality nen dosud nen zaveden y, je nutn e se rdit pozadavky ISO Model syst emu dokumentace viz pozd eji tato predn aska Rzen projektu Pred zah ajenm prvnho kroku implementace ISMS mus projekt mt { pridelen e zdroje a { ustanoven y adekv atn e strukturovan y, cinnosti schopn y projekcn t ym Velk a organizace: rdic v ybor + projekcn t ym mal a organizace: rdic v ybor = projekcn t ym Projekcn t ym { rd detailn kazdodenn pr ubeh implementace zkusen y manazer projektu { { prideluje pr aci, { oznamuje zkluzy s efovi rdicho v yboru nebo CEO { je autorizovan y implementovat pl an projektu ISMS schv alen y vedenm organizace clenov e z (casti) organizace pokryt e ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 52 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 53 Rzen projektu Rzen projektu Clenov e projekcnho t ymu typicky s efov e oddelen rzen kvality, rzen proces u, personalista, v ychova, rzen IT, spr ava budov, manazer odpovedn y za informacn bezpecnost, zkusen y expert v oblasti informacn bezpecnosti, prodejn odbor, rzen provozu, administrativa,... v t ymu mus b yt lid e schopn formulovat pozadavky a z ajmy klcov ych c ast organizace { implementace ISMS si vynut zmeny ve remn kulture S ef projekcnho t ymu clenov e t ymu ho mus uzn avat, mus b yt presvedcen y o dosazitelnosti cl u v case odsouhlasen em vedenm mus b yt pragmatick y a schopn y identikovat resen organizacnch probl em u ovliv nujc implementaci ISMS ne nekdo z podp urn ych oddelen rmy { ti nepovazuj ISMS za d ulezit y nikdy nesm b yt podrzen y nejak e IT roli, ISMS nen IT projekt mus b yt uzn avan ym a zkusen ym manazerem v organizaci v mal e organizaci to m uze b yt i manazer soucasne odpovedn y za informacn bezpecnost, ve velk e organizace by se melo jednat o,,pr aci na pln y uvazek" Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 54 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 55
15 obsahuje harmonogram Pl an projektu obsahuje sch ema odpov ednost na vysok e urovni rzen rmy obsahuje denici kritick e cesty do dokoncen projektu pl an priprav projekcn t ym, prover ho CEO a odsouhlas veden rmy pl anu mus rozumet s efov e oddelen ne vce nez 2 strany A4, nikdo by jinak necetl pl an projektu mus poctat s odporem napr. IT odd elen pl an mus v harmonogramu poctat s tr enov anm na principy ISMS na vsech urovnch (od byznysman u pres IT experty az po bezpecnostn manazery) Sledov an pr ub ehu projektu Pro veden rmy se mus pripravit dokument uv ad ejc odhad n aklad u na implementaci, posouzen a kvantikaci ocek avan ych prnos u, kdo je odpovedn y za co a v jak ych termnech Veden rmy m uze sledovat pr ub eh resen pomoc oponentur vypisovan ych v jist ych termnech Po dokoncen prohl asen o aplikovatelnosti, znaj se nutn a opatren Po dokoncen implementace uvodn sestavy procedur rescch urcen a opatren Po uveden ISMS do provozu a pred spustenm certikace Pravidelne kazd y rok provozov an ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 56 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 57 Role (externch) konzultant u Proc a kdy pouzt extern konzultanty maj zkusenosti a znalosti potrebn e pro uspesn e nasazeni ISMS st avajc zdroje rmy nestac na vypracov an ISMS projektu a rma potrebuje jejich okamzit e poslen Proc nepouzvat extern konzultanty drasticky odcerp avaj zdroje, hlavne tm, ze si casto uctuj dopl nkov e pr ace, kter e prohlasuj za absolutne potrebn e v organizaci se nikdo nenauc budovat ISMS Kdy a kde mohou extern konzultanti re aln e pomoci zsk an n azoru na z avaznost rizik, kter ym je rma vystavena poradenskou cinnost v oblasti resen konkr etnch, typicky technick ych probl em u, v oblasti ohodnocov an vnitrnch a vnejsch hrozeb, v oblasti volby adekv atnch opatren poradenstvm pri resen klcov ych krok u v projektu, pri oponentur ach kritick ych dokument u Dobr a praxe Role manazera informacn bezpecnosti Ex. jeden manazer odpovedn y za vsechny aktivity souvisejc s informacn bezpecnost v organizaci, a to jak na strategick e, tak i na kazdodenn urovni M uze b yt ustanoven y jeste drve nez se ustanov rdic v ybor a t ym projektu ISMS M uze participovat na ustanoven rdicho v yboru a t ymu projektu ISMS Nemus nutn e b yt osobou ustanovenou vedenm jako expert (specialista) na bezpecnost informac ve velk e organizaci jsou d ulezitejs manazersk e dovednosti nicm ene manazer informacn bezpecnosti mus b yt trvale skolen y na aktu aln urove n bezpecnosti informac Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 58 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 59
16 Role experta (specialisty) na bezpecnost informac informacn bezpecnost m a spoustu technick ych aspekt u a pri n avrhu a implementaci ISMS se mus resit spousta technick ych probl em u Pro resen informacn bezpecnosti mus b yt dostupn znalci detail u hrozeb pro informacn bezpecnost kongurov an relevantnch bezpecnost opatren zp usob u efektivnho monitorov an a ohodnocov an,...,...,... Resen { rol specialisty lze pov erit (a trvale proskolovat) nekoho (nekter e) z clen u IT t ymu (vets organizace) nebo manazera informacn bezpecnosti (mens organizace) Do projektu ISMS se mus zahrnout i dals specialist e personalist e, experti resc spr avu (podnikatelsk ych) rizik v organizaci, are alov bezpec aci, clenov e t ymu internho auditu,... Komunikace, komunikace,..., pl an vnitrn komunikace Komunikujte zavcas a casto Kazd y program zmenov eho rzen (tm zav aden ISMS je) mus mt velmi dobre navrzen y a implementovan y pl an vnitrn komunikace zahrnujc Top down komunikaci o vizch informacn bezpecnosti { proc je ISMS nutn y { jak e jsou pr avn odpovednosti organizace { jak se zmen podnikatelsk e procesy po zaveden programu ISMS { jak e budou prnosy zaveden ISMS pravideln e brngy na vsech urovnch o postupu resen z hlediska plnen cl u pl anu implementace ISMS jako integr aln souc ast brng u o norm alnch podnikatelsk ych procesech mechanismy zapojen,,lid z byznysu"do v yvoje klcov ych komponent ISMS (rdc v ybor, t ym projektu,... ) pokrac. Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 60 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 61 Komunikace, komunikace,..., pl an vnitrn komunikace Komunikace, komunikace,..., pl an vnitrn komunikace mechanismy zajist'ujc pravidelnou a bezprostredn zpetnou vazbu od lid ve rme a ovlivnen ych tretch stran { jejich prm e zkusenosti z inici alnch implementac ISMS mohou efektivne ovlivnit n aln syst em ISMS (f aze,,check") podporov an prm e komunikace, vnitrn komunikace via intranet publikov anm zpr av o postupu a konkr etnch v ysledcch, diskusn f ora, zavedenm adresy,,piste v ykonn emu rediteli",... Pro usp esnost ISMS nestac d at veden organizace spolehliv a relevantn csla, prnosy ISMS mus b yt vnman e vsemi zam estnanci, v rozsahu relevantnm jejich pozici Hlavn hnac silou ISMS je politika informacn bezpecnosti Hlavn hnac silou ISMS je politika informacn bezpecnosti strucn y dokument schv alen y vedenm organizace, spl nujc pozadavky standardu ISO Politika informacn bezpecnosti { b azov y zdroj informac reprezentace vize veden organizace o informacn bezpecnosti mus existovat d ukaz formou z apisu z jedn an veden organizace, potvrzujc, ze byla projedn ana s rdicm v yborem ISMS a odsouhlasena rdicm v yborem ISMS tot ez plat o vsech revizch politiky Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 62 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 63
17 Ohodnocov an rizik Ohodnocov an rizik je podstatou ISMS Porozum en ohodnocen rizik je klcem k usp esnosti projektu Veden organizace zav ad politiku informacn bezpecnosti protoze ex. v yznamn a rizika z pohledu dostupnosti, zachov an d uv ernosti a integrity informac organizace Veden organizace rozhoduje implementovat ISMS, aby se tato politika pln e a systematicky implementovala veden samo nedel a detailn ohodnocen rizik, pouze jasne vytycuje jak s riziky v projektu ISMS zach azet Mus se stanovit krit eria pro akceptov an rizika { velikost prijateln eho rizika Ohodnocov an rizik Riziko reprezentuje moznost, ze jist a akce, cinnost, povede ke ztr at am (k nez adoucm v ysledk um) kombinace pravd epodobnosti ud alosti a jejich d usledk u Riziko v kontextu informacn bezpecnosti je jedno z mnoha rizik, kter ym mus organizace celit Rizka mohou b yt spekulativn, z amerne vyuzvan a, mohou prpadne i generovat zisk nespekultavn, jsou zdrojem pouze ztr at, skod na aktivech Nespekulativn rizika zvl adaj procesy rzen rizik Ohodnocov an rizik je souc ast proces u rzen rizik Pro rzen rizik v kontextu bezpecnosti informac lze pouzt obecnou univerz aln metodiku rzen rizik Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 64 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 65 Ohodnocov an rizik Ohodnocov an rizik Pl an rzen rizik m a ctyri cle Ohodnocov anm rizik se rozum { elimace rizik { rizika, kter a nelze eliminovat, snzit na prijatelnou hodnotu a { bud'to s nimi zt a pouzvat opatren, kter a je udrz na prijateln ych hodnot ach { nebo je pren est na jin y subjekt { pojistenm pro skod am Rzenm rizik se rozum procesy resc ohodnocov an rizik { anal yza a vyhodnocen rizik zvl ad an rizik { v yber a implementace opatren akceptace rizik { rozhodov an o prijatelnosti rizika systematick e zkoum an aktiv, hrozeb, zranitelnost a dopad u s clem ohodnotit pravdepodobnost v yskytu a v ysi skody uplatnenm jist e akce/cinnosti Ohodnocov an rizik je form aln proces je pl anovateln y, m a sv a vstupn data, jeho v ystupy jsou zaznamen avan e Kdo prov ad ohodnocov an rizik extern konzultant (extern rma) vlastn t ym { v yhodnejs varianta, ohodnocov an se opakuje pri zmen ach podmnek Existuj softwarov e n astroje pro ohodnocov an rizik Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 66 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 67
18 Opatren Volba opatren prostredek pro ovl ad an rizika politka, procedura, n avod, rdic/organizacn struktura, n astroj povaha { administrativn, technick a, logick a, rdic, pr avn,... synonyma: protiopatren, bezpecnostn (proti)opatren,... Opatren v kontextu informacn bezpecnosti m uze mt kombinovanou povahu mix procedury, technologie, lidsk e cinnosti Mozn a klasikace opatren z pohledu rizik odrazujc { snizuj pravdepodobnost z amern eho utoku preventivn { zabra nuj uspesnosti utoku nebo skodliv emu dopadu opravn a { snizuj efekt utoku detektivn { odhaluj utok a spoust prventivn nebo opravn e opatren Volba opatren Implementace opatren mus b yt n akladov e efektivn Volbu mozn ych opatren lze prov est po ohodnocen rizik s clov ymi krit erii n aklady na porzen a provoz opatren neprev ys identikovan e dopady hrozeb klasikace rizik odpovd a pl anovan ym investicm porad implementac opatren je d ano prioritami prslusn ych rizik Druh y nejd ulezit ejs dokument ISMS po politice bezp. informac je Prohl asen o aplikovatelnosti seznam vsech aplikovateln ych opatren a politikami a procedurami, kter e je aplikuj ISO Annex A uv ad takov y (minim aln) seznam nepouzit nekter eho z nich by melo b yt zd uvodnen e Dalsm zdrojem pro volbu je ISO { Code of Best Practice... Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 68 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 69
Projekt implementace ISMS, Dodatek 2, Pozn amky k projektov emu rzen
Projekt implementace ISMS, Dodatek 2, Pozn amky k projektov emu rzen PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2016 Obsah dodatku predn
VícePrklad dokumentov e z akladny ISMS
Prklad dokumentov e z akladny ISMS podle z akona o kybernetick e bezpecnosti PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 Standard
VíceProjekt implementace ISMS Dodatek 1, PDCA
Projekt implementace ISMS Dodatek 1, PDCA PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 PDCA { f aze Plan, podrobn eji 1. denov an oblasti
VíceRzen informacn bezpecnosti v organizaci
Rzen informacn bezpecnosti v organizaci Dodatek PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2016 Dodatek predn asky Oblasti rzen ovlivn
VíceRzen informacn bezpecnosti v organizaci
Dodatek predn asky Rzen informacn bezpecnosti v organizaci Dodatek PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Oblasti rzen ovlivn en e prosazov anm informacn
VíceProjekt implementace ISMS
Projekt implementace ISMS PV 017 Bezpecnost IT Jan ÐStaudek Û Å«Æ ±²³ µ ¹º»¼½¾ Ý http://www..muni.cz/usr/staudek/vyuka/ Verze : podzim 2016 ISMS { Information Security Management System Metodicky vypracovan
VíceProjekt implementace ISMS
ISMS { Information Security Management System Projekt implementace ISMS PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 018 Syst em proces
VíceAudit (prezkoum av an) bezpecnostnch opatren, politik, syst em u,...
Audit (prezkoum av an) bezpecnostnch opatren, politik, syst em u,... PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 Audit Audit (z lat.
VíceAudit (prezkoum av an) bezpecnostnch opatren, politik, syst em u,...
Audit Audit (prezkoum av an) bezpecnostnch opatren, politik, syst em u,... PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 Audit (z lat.
VícePolitika informacn bezpecnosti
Politika Politika informacn bezpecnosti PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2019 Politika { pravidla rdic dosazen cl u urcen ymi
VícePrklady opatren, zranitelnost a hrozeb
Prklady opatren, zranitelnost a hrozeb PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 Obsah Prklad kategori opatren podle ISO/IEC 27001/27002
VíceRzen reakc na bezpecnostn incidenty
Rzen reakc na bezpecnostn incidenty PV 017 Bezpecnost informacnch technologi Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 n Bezpecnostn ud alost, bezpecnostn
VíceRzen rizik. PV 017 Bezpecnost informacnch technologi. Jan Staudek Verze : podzim 2018
Rzen rizik PV 017 Bezpecnost informacnch technologi Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 Rizika Proc organizace stanovuje / modikuje / rozsiruje
VíceAplikacn bezpecnost. Informacn bezpecnost z pohledu aplikacnch syst em u. PV 017 Bezpecnost informacnch technologi
Informacn bezpecnost z pohledu aplikacnch syst em u Aplikacn bezpecnost PV 017 Bezpecnost informacnch technologi Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim
VícePolitika informacn bezpecnosti, Dodatek
Politika informacn bezpecnosti, Dodatek PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2016 Obsah dodatku XXX tip u pro tvorbu politiky informacn
VíceDistribuovan e algoritmy
Distribuovan e algoritmy PA 150 Principy operacnch syst em u Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 Distribuovan y syst em, distribuovan y algoritmus
VíceAplikacn bezpecnost. PV 017 Bezpecnost informacnch technologi. Jan Staudek Verze : podzim 2017
Aplikacn bezpecnost PV 017 Bezpecnost informacnch technologi Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2017 Informacn bezpecnost z pohledu aplikacnch syst
VícePolitika informacn bezpecnosti, Dodatek
Obsah dodatku Politika informacn bezpecnosti, Dodatek PV 017 Bezpecnost IT Politika informacn bezpecnosti dle z akona o kybernetick e bezpecnosti Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û
VíceGPDR, General Data Protection Regulation
Obecn e narzen o ochran e osobnch udaj u, OU GPDR, General Data Protection Regulation PV 017 Rzen informacn bezpecnosti Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze :
VíceISMS { Syst em rzen informacn bezpecnosti
ISMS { Syst em rzen informacn bezpecnosti PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 Syst em rzen informacn bezpecnosti Information
VícePl anu zachov an kontinuity podnik an,
Uvodem Pl anu zachov an kontinuity podnik an, Business Continuity Plan, BCP, dodatek predn asky k ISMS PV 017 Bezpecnost IT Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Kontinuita
VíceISMS { Syst em rzen informacn bezpecnosti
Syst em rzen informacn bezpecnosti ISMS { Syst em rzen informacn bezpecnosti PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 Information
VícePl anu zachov an kontinuity podnik an,
Pl anu zachov an kontinuity podnik an, Business Continuity Plan, BCP, dodatek predn asky k ISMS PV 017 Bezpecnost IT Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Verze : podzim
VíceN avrh a pouzit metrik informacn bezpecnosti, m eren v ISMS
Metriky a m eren informacn bezpecnosti N avrh a pouzit metrik informacn bezpecnosti, m eren v ISMS PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Organizace
VíceUvod, celkov y prehled problematiky
Organizace v yuky Uvod, celkov y prehled problematiky PV 169 Z aklady prenosu dat Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Predn as, zkous (zkouska psemn a) Jan Staudek,
VíceProjekt implementace ISMS Dodatek 4, Prklad politiky ISMS
Prklad kapitol politiky informacn bezpecnosti pro ISMS Projekt implementace ISMS Dodatek 4, Prklad politiky ISMS PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾
VíceUvod, celkov y prehled problematiky
Uvod, celkov y prehled problematiky PV 169 Z aklady prenosu dat Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 Organizace v yuky Predn as, zkous (zkouska
VíceVl akna. PB 152 Operacn syst emy. Jan ÐStaudek http://www..muni.cz/usr/staudek/vyuka/ Verze : jaro 2015
Vl akna PB 152 Operacn syst emy Jan ÐStaudek Û Å«Æ ±²³ µ ¹º»¼½¾ Ý http://www..muni.cz/usr/staudek/vyuka/ Verze : jaro 2015 Proces, resp. tak e task { drzitel zdroj u, vc. prostoru ve virtu aln pam eti
VíceKoncept informacn bezpecnosti
Koncept informacn bezpecnosti PV 017 Rzen informacn bezpecnosti Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2016 Motto Bezpecnost nen cern a a bl a, bezpecnost
VíceN avrh a pouzit metrik informacn bezpecnosti, m eren v ISMS
Metriky a m eren informacn bezpecnosti N avrh a pouzit metrik informacn bezpecnosti, m eren v ISMS PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Organizace
VíceAnatomie informacn bezpecnosti
Anatomie informacn bezpecnosti PV 017 Bezpecnost IT Jan ÐStaudek Û Å«Æ ±²³ µ ¹º»¼½¾ Ý http://www..muni.cz/usr/staudek/vyuka/ Verze : podzim 2016 Predm et ochrany { aktiva aktivum { predm et, myslenka,
VíceB azov y fenom en pri zajist'ov an bezpecnosti { riziko
B azov y fenom en pri zajist'ov an bezpecnosti { riziko Kdyz existuje potenci aln utocnk, kter y je schopn y dky zranitelnosti jist eho informacnho aktiva narusit n ekterou z bezpecnostnch vlastnost aktiva
VíceKrit eria hodnocen informacn bezpecnosti, dodatek
Dopln ek predn asky pro samostudium Krit eria hodnocen informacn bezpecnosti, dodatek Následující podklady jsou doplňkem přednášky určený pro rozšířující samostudium PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/
VíceObnova transakc po v ypadku
Klasikace poruch Obnova transakc po v ypadku PA 150 Principy operacnch syst em u Jan ÐStaudek Û Å«Æ ±²³ µ ¹º»¼½¾ Ý http://www..muni.cz/usr/staudek/vyuka/ poruchy transakc logick e chyby v resen T nelze
VíceOperacn syst emy { prehled
Komponenty poctacov eho syst emu Operacn syst emy { prehled PB 152 Operacn syst emy Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2017 uzivatel e (lid e, stroje,
VíceKoncept informacn bezpecnosti II
B azov y fenom en pri zajist'ov an bezpecnosti { riziko Koncept informacn bezpecnosti II PV 017 Rzen informacn bezpecnosti Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze
VíceKoncept informacn bezpecnosti
Motto Koncept informacn bezpecnosti PV 017 Rzen informacn bezpecnosti Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2016 Bezpecnost nen cern a a bl a, bezpecnost
VíceKrit eria hodnocen informacn bezpecnosti
Motivace pro hodnocen Krit eria hodnocen informacn bezpecnosti PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2017 Existuje produkt (syt em)
VícePodsyst em vstupu a v ystupu
Podsyst em vstupu a v ystupu PB 152 Operacn syst emy PV 062 Organizace soubor u Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2016 Osnova predn asky Vstup/v ystup
VíceSoubor, souborov e organizace
Soubor, souborov e organizace PV 062 Organizace soubor u Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2016 Osnova predn asky Pojem soubor, klc, operace se souborem,
VíceVl akna. Proces a vl akna. PB 152 Operacn syst emy. Resen editoru pomoc vl aken. Koncept sekvencnho procesu m uze b yt neefektivn
Proces a vl akna Vl akna PB 15 Operacn syst emy Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Proces, resp. tak e task { drzitel zdroj u, vc. prostoru ve virtu aln pameti pro
VíceOCTAVE ÚVOD DO METODIKY OCTAVE
OCTAVE ÚVOD DO METODIKY OCTAVE Velká závislost organizací na informačních systémech s sebou přináší také nemalé požadavky na zabezpečení zpracovávaných a uložených informací. Důvěrnost, dostupnost a integrita
VíceSpr ava hlavn pam eti
Osnova predn asky Spr ava hlavn pam eti PB 15 Operacn syst emy Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Obecn e principy spr avy hlavn pam eti str ankov an, paging hlavn pam eti, segmentov an,
VícePrepn an, switching. Propojovac probl em. PV 169 Z aklady prenosu dat. Prepnac, prepnan a st' Metody prepn an
Propojovac probl em Prepn an, switching PV 169 Z aklady prenosu dat Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Jak propojit dvoubodov ymi spoji mnoho zarzen? Kazd e zarzen s kazd ym? { Nerealistick
VíceOperacn syst emy { prehled
Operacn syst emy { prehled PB 152 Operacn syst emy Jan ÐStaudek Û Å«Æ ±²³ µ ¹º»¼½¾ Ý http://www..muni.cz/usr/staudek/vyuka/ Verze : jaro 2015 hardware Komponenty poctacov eho syst emu b azov e v ypocetn
VíceStandardy (normy) a legislativa informacn bezpecnosti
Standardy (normy) a legislativa informacn bezpecnosti PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2019 Standardy (normy) a legislativa
VíceSekven cn soubory. PV 062 Organizace soubor u. Jan Staudek Verze : jaro 2018
Sekven cn soubory PV 062 Organizace soubor u Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2018 Klasick e, standardn organizace soubor u hromada sekvencn soubor
VíceStandardy (normy) a legislativa. informacn bezpecnosti. Standardy (normy) a legislativa. PV 017 Bezpecnost IT
Standardy (normy) a legislativa Standardy (normy) a legislativa informacn bezpecnosti PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2019
VíceProcesy. PB 152 Operacn syst emy. Jan Staudek Verze : jaro 2017
Procesy PB 152 Operacn syst emy Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2017 Uvodem k proces um Poctacov a platforma se skl ad a z kolekce hardwarov ych prostredk
VíceSpr ava hlavn pam eti
Spr ava hlavn pam eti PB 152 Operacn syst emy Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2017 Osnova predn asky Obecn e principy spr avy hlavn pam eti str ankov
VícePV 017 Bezpecnost IT
Katalog opatren, ISO/IEC 27002 Dodatek predn asky Anatomie inform. bezpec., ilustracn v yklad PV 017 Bezpecnost IT Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Verze : podzim
VíceStandardy (normy) a legislativa informacn bezpecnosti
Standardy (normy) a legislativa informacn bezpecnosti PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2017 Standardy (normy) a legislativa
VíceImplementace systému ISMS
Implementace systému ISMS Krok 1 Stanovení rozsahu a hranic ISMS Rozsah ISMS Krok 2 Definice politiky ISMS Politika ISMS Krok 3 Definice přístupu k hodnocení rizik Dokumentovaný přístup k hodnocení rizik
VíceV Brně dne 10. a
Analýza rizik V Brně dne 10. a 17.10.2013 Ohodnocení aktiv 1. identifikace aktiv včetně jeho vlastníka 2. nástroje k ohodnocení aktiv SW prostředky k hodnocení aktiv (např. CRAMM metodika CCTA Risk Analysis
VíceČSN ISO/IEC 27001 P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001
ČSN ISO/IEC 27001 Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky Představení normy ISO/IEC 27001 a norem souvisejících - Současný stav ISO/IEC 27001:2005
VíceProcesy. Uvodem k proces um. PB 152 Operacn syst emy. Program a proces. Uvodem k proces um
Uvodem k proces um Procesy PB 152 Operacn syst emy Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2017 Poctacov a platforma se skl ad a z kolekce hardwarov ych prostredk
VíceStandardy (normy) a legislativa. informacn bezpecnosti. Standardy (normy) a legislativa. PV 017 Bezpecnost IT
Standardy (normy) a legislativa Standardy (normy) a legislativa informacn bezpecnosti PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2017
VíceTyp aktiv Aktivum Hrozba Zranitelnost Riziko
Zbytková rizika Typ aktiv Aktivum Hrozba Zranitelnost Částečná úroveň rizika Snížení hrozby Snížení zranit. Zbytkové Namapovaná opatření Riziko C I A T MAX Hodnota MAX Hodnota riziko ISO? specif.? Datová
VíceČESKÁ TECHNICKÁ NORMA
ČESKÁ TECHNICKÁ NORMA ICS 35.020; 35.040 2008 Systém managementu bezpečnosti informací - Směrnice pro management rizik bezpečnosti informací ČSN 36 9790 Červen idt BS 7799-3:2006 Information Security Management
VíceISO/IEC 27002:2013. PV 017 Bezpecnost IT. ISO/IEC 27002:2013, Oddly kategori bezpecnosti. ISO/IEC 27002:2013, Popis kategori bezpecnosti
ISO/IEC 27002:2013 Katalog opatren, ISO/IEC 27002 Dodatek predn asky Anatomie inform. bezpec., ilustracn v yklad PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾
VíceObnova transakc po v ypadku
Obnova transakc po v ypadku PA 150 Principy operacnch syst em u Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2016 Klasikace poruch poruchy transakc logick e
VíceČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti
ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti Ing. Daniel Kardoš, Ph.D 4.11.2014 ČSN ISO/IEC 27001:2006 ČSN ISO/IEC 27001:2014 Poznámka 0 Úvod 1 Předmět normy 2 Normativní odkazy 3 Termíny
VíceNávrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB
Návrh vyhlášky k zákonu o kybernetické bezpečnosti Přemysl Pazderka NCKB Východiska ISO/IEC 27001:2005 Systémy řízení bezpečnosti informací Požadavky ISO/IEC 27002:2005 Soubor postupů pro management bezpečnosti
VícePoctacov e syst emy { prehled
Poctacov e syst emy { prehled PB 152 Operacn syst emy Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2017 Prol predm etu 1. etapa (1/4 obsahu, predn asek), uvod
VíceCertifikace systému managementu bezpečnosti informací dle ISO/IEC 27001
Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001 Hradec Králové duben 2009 2009-03 Informace versus Bezpečnost informací Informace (aktivum) - vše, co má hodnotu pro organizaci Bezpečnost
VíceBusiness Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.
Business Continuity Management jako jeden z nástrojů zvládání rizik Ing. Martin Tobolka AEC, spol. s r.o. Co je BCM? Mezi časté příčiny přerušení kontinuity činností patří technická selhání (energie, HW,
VíceStandardy a definice pojmů bezpečnosti informací
Standardy a definice pojmů bezpečnosti informací Robert Gogela, CISA, CISM Lidská společnost se snaží na vše vytvořit normy a potom trestat ty, kdo normy porušují. Nikdo již ale nekontroluje, zda nám normy
VíceProjektové řízení a rizika v projektech
Projektové řízení a rizika v projektech Zainteresované strany Zainteresované strany (tzv. stakeholders) jsou subjekty (organizace, lidé, prostory, jiné projekty), které realizace projektu ovlivňuje. Tyto
VíceInformacn teorie. PV 062 Organizace soubor u. Jan Staudek Verze : jaro 2018
Informacn teorie PV 062 Organizace soubor u Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2018 Cl predn asky Abychom mohli informace efektivn e ukl adat, zsk avat
VíceTyp aktiv Aktivum Hrozba Zranitelnost Riziko
Zbytková rizika Typ aktiv Aktivum Hrozba Zranitelnost Částečná úroveň rizika Snížení hrozby Snížení zranit. Zbytkové Namapovaná opatření Riziko C I A T MAX Hodnota MAX Hodnota riziko ISO? specif.? Datová
VíceČESKÁ TECHNICKÁ NORMA
ČESKÁ TECHNICKÁ NORMA ICS 35.040 Červenec 2009 Informační technologie Bezpečnostní techniky Řízení rizik bezpečnosti informací ČSN ISO/IEC 27005 36 9790 Information technology Security techniques Information
VíceSoubor, souborov e organizace
Soubor, souborov e organizace PV 062 Organizace soubor u Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2018 Osnova predn asky Pojem souboru Model, sch ema souborov
VíceSystém řízení informační bezpečnosti (ISMS)
Systém řízení informační bezpečností (ISMS) RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost,
VíceStandardy (normy) a legislativa. informacn bezpecnosti. Standardy (normy) a legislativa. PV 017 Bezpecnost IT
Standardy (normy) a legislativa Standardy (normy) a legislativa informacn bezpecnosti PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2016
VícePOMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1
POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Verze 2.1 Obsah 1. Úvod... 4 2. Vymezení pojmů... 5 3. Bezpečnostní opatření... 7 3.1. Organizační opatření... 7 3.1.1.
VíceBezepečnost IS v organizaci
Bezepečnost IS v organizaci analýza rizik Zabezpečení informačního systému je nutné provést tímto postupem: Zjistit zranitelná místa, hlavně to, jak se dají využít a kdo toho může zneužít a pravděpodobnost
VíceTyp aktiv Aktivum Hrozba Zranitelnost Riziko
Zbytková rizika Typ aktiv Aktivum Hrozba Zranitelnost Částečná úroveň rizika Snížení hrozby Snížení zranit. Zbytkové Namapovaná opatření Riziko C I A T MAX Hodnota MAX Hodnota riziko ISO? specif.? Datová
VíceMANAGEMENT KYBERNETICKÉ BEZPEČNOSTI
MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI TÉMA Č. 4 ISO NORMY RODINY 27K pplk. Ing. Petr HRŮZA, Ph.D. Univerzita obrany, Fakulta ekonomiky a managementu Katedra vojenského managementu a taktiky E-mail.: petr.hruza@unob.cz
VíceHasov an (hashing) na vn ejsch pam etech
Hasov an (hashing) na vn ejsch pam etech PV 062 Organizace soubor u Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2018 Obsah predn asky Jak algoritmicky dos ahnout
VíceVolba v udce, Leader Election
Volebn probl em { Kdy a proc se vol vedouc uzel? Volba v udce, Leader Election PA 150 Principy operacnch syst em u Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim
VíceSoubor, souborov e organizace
Osnova predn asky Soubor, souborov e organizace PV 06 Organizace soubor u Pojem souboru Model, sch ema organizace soubor u Dotaz nad souborem Klasikace souborov ych organizac Jan Staudek http://www..muni.cz/usr/staudek/vyuka/
VíceRiJ ŘÍZENÍ JAKOSTI L 1 1-2
RiJ ŘÍZENÍ JAKOSTI ML 1-2 Normy řady ISO 9000 0 Úvod 1 Předmět QMS podle ISO 9001 2 Citované normativní dokumenty 3 Termíny a definice 4 Systém managementu kvality 5 Odpovědnost managementu 6 Management
VíceEfektivní řízení rizik ISMS. Luděk Novák, Petr Svojanovský ANECT a.s.
Efektivní řízení rizik ISMS Luděk Novák, Petr Svojanovský ANECT a.s. Obsah Proč řízení rizik ICT? Základní prvky řízení rizik ICT Příklady ohodnocení Potřeby řízení rizik ICT Registr rizik ICT Závěr Motto:
VíceManagement informační bezpečnosti
Management informační bezpečnosti Definice V Brně dne 3. října 2013 Definice Common Criterta ITIL COBIT CRAMM Přiměřená ábezpečnostč Management informační bezpečnosti 2 Common Criteria Common Criteria
VíceStátní pokladna. Centrum sdílených služeb
Státní pokladna Centrum sdílených služeb Státní pokladna Centrum sdílených služeb Organizační dopady při řešení kybernetické bezpečnosti Ing. Zdeněk Seeman, CISA, CISM Obsah prezentace Podrobnější pohled
VíceVolba v udce, Leader Election
Volba v udce, Leader Election PA 150 Principy operacnch syst em u Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 Volebn probl em { Kdy a proc se vol vedouc
VícePl anov an. PB 152 Operacn syst emy. Jan Staudek Verze : jaro 2017
Pl anov an PB 152 Operacn syst emy Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2017 Osnova predn asky Motivace: V multitaskingov ych syst emech existuje vce proces
VíceČESKÁ TECHNICKÁ NORMA
ČESKÁ TECHNICKÁ NORMA ICS 35.040 Prosinec 2011 Informační technologie Bezpečnostní techniky Směrnice pro implementaci systému řízení bezpečnosti informací ČSN ISO/IEC 27003 36 9790 Information technology
VíceDistribuovan e prostred, cas a stav v distribuovan em prostred
Distribuovan e prostred, cas a stav v distribuovan em prostred PA 150 Principy operacnch syst em u Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 Obsah predn
VíceJan Hřídel Regional Sales Manager - Public Administration
Podpora kvality ICT ve veřejné správě pohledem Telefónica O2 4. Národní konference kvality Karlovy Vary Jan Hřídel Regional Sales Manager - Public Administration Obsah 1. Strategie v ICT využití metody
VíceCo je to COBIT? metodika
COBIT Houška, Kunc Co je to COBIT? COBIT (Control OBjectives for Information and related Technology) soubor těch nejlepších praktik pro řízení informatiky (IT Governance) metodika určena především pro
VícePodsyst em vstupu a v ystupu
Osnova predn asky Podsyst em vstupu a v ystupu PB 15 Operacn syst emy PV 06 Organizace soubor u Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Vstup/v ystup { Input/output {
VíceDistribuovan e prostred, cas a stav v distribuovan em prostred
Obsah predn asky Distribuovan e prostred, cas a stav v distribuovan em prostred PA 150 Principy operacnch syst em u Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim
VíceFyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.
Fyzická bezpečnost, organizační opatření RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost,
VíceInforma ní bezpe nost I Management bezpe nosti informa ních systém - ISMS. michal.slama@opava.cz
Informa ní bezpe nost I Management bezpe nosti informa ních systém - ISMS michal.slama@opava.cz Obsah Úvod bezpe nost IS Analýza rizik P ípadová studie Bezpe nost Informa ních systém Ochrana informa ních
VíceISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA
ISO 9001:2009 a ISO 27001:2005 dobrá praxe Ing. Martin Havel, MBA Obsah 1. Podstata řešení 2. Cíle 3. Průběh implementace 4. Přínos 5. Výsledky 6. Doporučení 2 Podstata řešení Vytvoření jednotného systému
VíceSKUPINA 6. Jitka KAZIMÍROVÁ. Lektor: Allianz pojišťovna. Téma: Zkušenosti s outsourcingem IT auditu
SKUPINA 6 Lektor: Jitka KAZIMÍROVÁ Allianz pojišťovna Téma: Zkušenosti s outsourcingem IT auditu Předběžný časový rozvrh pracovních skupin 13 14:30 h 1. blok: představení tématu a diskuze Představení vedoucího
VíceBezpečnostní politika společnosti synlab czech s.r.o.
Bezpečnostní politika společnosti synlab czech s.r.o. Platnost dokumentu: 14. ledna 2015 Datum vypracování: 8. ledna 2015 Datum schválení: 13. ledna 2015 Vypracoval: Schválil: Bc. Adéla Wosková, Ing. Jaroslav
VíceCo je a co není implementace ISMS dle ISO a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o.
Co je a co není implementace ISMS dle ISO 27001 a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o. OBSAH Co je implementace ISMS dle ISO 27001 Proč měřit ISMS? Zdroje pro měření
VíceCo je riziko? Řízení rizik v MHMP
Co je riziko? Hrozba, že při zajišťování činností nastane určitá událost, jednání nebo stav s následnými nežádoucími dopady na plnění stanovených povinností, úkolů a schválených záměrů a cílů SPÚ. Je definováno
Více