projektu implementace ISMS

Transkript

1 Obsah dodatku p redna sky Projekt implementace ISMS, Dodatek 2, Poznamky k projektovemu r zen 2 Podrobny popis kroku/v ystup u Projektu implementace ISMS 2 Poznamky, doporu cen k integraci ISMS s ostatn mi systemy organizace 2 Poznamky, doporu cen k postupum r zen projektu PV 017 Bezpe cnost IT Jan Staudek } w A y < / -., )+ ( %&' $ #!" Æ Verze : podzim 2018 Jan Staudek, FI MU Brno Faze projektu implementace ISMS PV017 { Projekt implementace ISMS, dodatek 1 D l c kroky faz projektu implementace ISMS 1. Z skan souhlasu veden organizace pro zahajen implem. ISMS 1.1 Objasn en priorit organizace pro projekt ISMS 1.2 P redb ez na denice oblasti pusobnosti ISMS 1.3 Vytvo ren zakazky a planu projektu implementace ISMS pro odsouhlasen veden m organizace 2. Denovan oblasti pusobnosti ISMS a politiky ISMS 2.1 Denovan oblasti a hranic inf. bezpe cnosti v organizaci 2.2 Denovan oblasti a hranic informa cn ch a komunika cn ch technologi (ICT) 2.3 Denovan fyzicke oblasti a hranic 2.4 Integrace v sech oblast a hranic do oblasti a hranic ISMS 2.5 Vyvoj politiky ISMS a z skan souhlasu od veden Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 2 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 3

2 Dlc kroky f az projektu implementace ISMS 3. Anal yza pozadavk u organizace na informacn bezpecnost 3.1 Denov an pozadavk u organizace na inf. bezpecnost 3.2 Identikace aktiv v oblasti p usobnosti ISMS 3.3 Ohodnocen informacn bezpecnosti 4. Ohodnocen rizik a vypracov an pl anu zvl adnut rizik 5. N avrh ISMS Dlc kroky f az projektu implementace ISMS 5.1 N avrh informacn bezpecnosti v organizaci 5.2 N avrh fyzick e a ICT informacn bezpecnosti 5.3 N avrh informacn bezpecnosti specick e pro ISMS 5.4 Vytvoren n alnho pl anu projektu ISMS 4.1 Ohodnocen rizik 4.2 V yber cl u opatren a opatren 4.3 Zsk an souhlasu veden organizace s implementac a provozov anm ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 4 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 5 1. Zsk an souhlasu veden organizace pro zah ajen projektu Veden organizace mus pochopit smysl zak azky projekt implementace ISMS a zak azku schv alit Clem uvodn f aze je umoznit veden organizace pochopit v yznam ISMS a vyjasnit role a odpov ednosti v informacn bezpecnosti v organizaci potrebn e k realizaci projektu implementace ISMS. Kroky 1. Zsk an souhlasu veden organizace pro zah ajen projektu Ocek avan y v ystup t eto uvodn f aze predbezn e schv alen projektu ISMS vedenm organizace a z avazek veden organizace ISMS implementovat denice zak azky projekt implementace ISMS a predbezn eho pl anu projektu ISMS s klcov ymi milnky 1.1 Objasnění priorit organizace pro projekt ISMS 1.2 Předběžná definice oblasti působnosti ISMS 1.3 Vytvoření zakázky a plánu projektu pro odsouhlasení vedením organizace Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 6 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 7

3 1.1 Objasn en priorit organizace pro projekt ISMS Strategick e cle organizace Prehled existujcch syst em u rzen v organizaci Seznam pr avnch, regulacnch a smluvnch pozadavk u na informacn bezpecnost vztahujc se na organizaci Cle implementace ISMS se odvod z odpov ed na ot azky Jak ISMS zajist leps rzen rizik informacn bezpecnosti? Jak ISMS zleps rzen informacn bezpecnosti? Jakou konkurencn v yhodu pro organizaci m uze ISMS vytvorit? Priority a pozadavky na informacn bezpecnost ovliv nuj faktory co jsou kritick e oblasti (podnik an, organizace)? existuj vztahy a dohody s tretmi stranami? 1.1 Objasn en priorit organizace pro projekt ISMS existuj outsourcovan e sluzby? kter a informacn aktiva jsou kritick a? jak e by byly pravdepodobn e d usledky, pokud by se nekter e informace zprstupnily nepovolan ym osob am (napr. ztr ata konkurencn v yhody, poskozen znacky a povesti, zaloba,... )? kter e z akony vztahujc se ke zvl ad an rizik se vztahuj na organizaci? m a organizace charakter verejn e organizace s otevren ym nancov anm? jak e jsou pozadavky na uloziste dat (vcetne doby uchov av an)? existuj nejak e smluvn z avazky t ykajc se soukrom nebo kvality (napr. smlouva o urovni sluzeb, SLA, Service Level Agreement) jak y druh ochrany je zapotreb proti kter ym hrozb am? jak e jsou r uzn e kategorie informac, kter e vyzaduj ochranu? jak e jsou typy informacnch aktivit, kter e je treba chr anit? Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 8 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek Objasn en priorit organizace pro projekt ISMS 1.2 Predb ezn a denice oblasti p usobnosti ISMS kter a opatren v oblasti informacn bezpecnosti by mely prin est konkurencn v yhodu pro organizaci? kter e podnikatelsk e procesy jsou klcov e z pohledu pozadavku zachov an kontinuity podnik an? jak dlouho m uze organizace tolerovat prerusen kazd eho kritick eho podnikatelsk eho procesu? V ystup dokument shrnujc cle, priority informacn bezpecnosti, person aln a organizacn predpoklady pro ISMS seznam predpis u, smluvnch a technick ych pozadavk u t ykajcch se informacn bezpecnosti organizace popisn a charakteristika cinnosti organizace, jejho umsten, majetku (aktiv) a technologi organizace v ystup 1.1 Objasnění priorit organizace pro projekt ISMS seznam subjekt u, kter e budou mt prospech z v ysledk u projektu ISMS Predb ezn a denice oblasti p usobnosti ISMS zahrnuje Seznam kritick ych podnikatelsk ych proces u, syst em u, informacnch aktiv, organizacnch struktur a lokalit, na kter e se bude aplikovat ISMS popis jak c asti v oblasti spolupracuj s dalsmi syst emy rzen Charakteristiky podnik an, organizace, lokality, aktiv a technologi Denice rol a odpovednost v predbezn e oblasti ISMS Veden by melo explicitne stanovit roli (typicky Chief Information Security Officer, Information Security Manager apod.) s celkovou odpovednost za rzen informacn bezpecnosti a zamestnanc um by mely b yt prirazeny role a povinnosti zalozen e na dovednostech potrebn ych k v ykonu jejich pr ace Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 10 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 11

4 1.2 Predb ezn a denice oblasti p usobnosti ISMS 1.3 Vytvoren zak azky a pl anu projekt implementace Celkov a odpovednost za plnen ukol u prirozene z ust av a na veden, ale jedna osoba (obvykle Chief Information Security Officer) je poverena p ec o procesy zajist'ujc informacn bezpecnost Kazd y zamestnanec je stejne zodpovedn y jak za sv e pracovn v ykony, tak za udrzen informacn bezpecnosti na pracovisti a v organizaci Vztah st avajcch syst em u rzen, regulacnch a organizacnch cl u, predpis u, kter ym se mus vyhovet,... dokument, kter y predbezne popisuje oblast p usobnosti ISMS v ystupy 1.1 Objasnění priorit organizace pro projekt ISMS v ystupy 1.2 Předběžná definice oblasti ISMS { oblast p usobnosti, role, odpovednosti Vytvoren zak azky a inici alnho pl anu projektu implementace ISMS slouz jako z akladna projektu a tak e zajist'uje z avazek veden a schv alen vedenm zdroj u potrebn ych pro implementaci ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 12 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek Vytvoren zak azky a pl anu projektu Zak azku charakterizuje prohl asen pokr yvajc t emata strategick e a konkr etn cle prnosy pro organizaci predbezne vymezen a oblast ISMS vcetne dotcen ych podn. proces u kritick e procesy a faktory pro dosazen konkr etnch cl u ISMS konceptu aln popis projektu inici aln pl an implementace denovan e role a odpovednosti pozadovan e zdroje (technologie a lid e) rozvaha o implementaci zvazujc rovnez st avajc inf. bezpecnost casov a osa s d ulezit ymi milnky predpokl adan e n aklady kritick e faktory uspechu kvantikace prnos u pro organizaci 1.3 Vytvoren zak azky a pl anu projektu dokumentovan e schv alen realizace projektu implementace ISMS a pridelen ych zdroj u vedenm organizace oci aln, dokumentovan e vytvoren zak azky Inici aln n avrh projektu ISMS s meznky typu { proveden ohodnocen rizik, { implementace, { intern audity { prezkoum an vedenm {... Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 14 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 15

5 F aze projektu implementace ISMS { v ystupy krok u 1. f aze 2. Denov an oblasti p usobnosti ISMS a politiky ISMS Cl Presne denovat oblast p usobnosti a hranice ISMS, a vyvinout politiku ISMS a zskat odsouhlasen od veden Detailn e se vymez oblast p usobnosti ISMS a politika ISMS s ohledem na kritick a informacnch aktiva organizace a zsk a se odsouhlasen vedenm organizace Kroky 2.1 Definování oblasti a hranic organizace 2.2 Definování oblasti a hranic informačních a komunikačních technologií (ICT) 2.3 Definování fyzické oblasti a jejích hranic 2.4 Integrace všech oblastí a hranic do oblasti a hranic ISMS 2.5 Vývoj politiky ISMS a získání souhlasu od vedení Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 16 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek Denov an oblasti a hranic organizace v ystup 1.2 Předběžná definice oblasti působnosti ISMS v ystup 1.1 Objasnění priorit organizace pro projekt ISMS Denuj se oblast a hranice p usobnosti ISMS v organizaci popis hranice organice pro ISMS, vcetne od uvodnen proc a kter e c asti organizace byly vylouceny z oblasti p usobnosti ISMS, popis funkce a struktury c ast organizace v oblasti p usobnosti ISMS, identikace informac vyme novan ych v oblasti a informac vyme novan ych pres hranice oblasti p usobnosti ISMS organizace proces u a odpovednosti za informacn aktiva v oblasti p usobnosti ISMS a mimo tuto oblast proces hierarchie rozhodov an a struktura ISMS. 2.2 Denov an oblasti a hranic ICT v ystup 1.2 Předběžná definice oblasti působnosti ISMS v ystup 2.1 Definování oblasti a hranic organizace Denuj se ICT v oblast p usobnosti ISMS v organizaci V ystup Popis informac vyme novan ych v oblasti v r amci a informac vyme novan ych pres hranice oblasti hranice ICT pro ISMS, vcetne prpadn eho od uvodnen vyloucen nekter ych ICT organizace z oblasti ISMS informacn syst emy a telekomunikacn ste, popis, co se nach az v oblasti p usobnosti ISMS, vc. rol a odpovednost za tyto syst emy Strucn y popis syst em u mimo oblast p usobnosti ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 18 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 19

6 2.3 Denov an fyzick e oblasti a hranic ISMS 2.3 Denov an fyzick e oblasti a hranic ISMS v ystup 1.2 Předběžná definice oblasti působnosti ISMS v ystup 2.1 Definování oblasti a hranic organizace v ystup 2.2 Definování oblasti a hranic ICT Vedle denov an fyzick e oblasti a hranic ISMS je nutno respektovat vzd alen a zarzen z akaznick a rozhran rozhran informacnch syst em u a sluzeb poskytovan ych sluzeb tretmi stranami rozhran a urovne sluzeb funkce nebo popisy proces u s prihl ednutm k jejich fyzick ym umstenm a oblasti spravovan e organizac zvl astn zarzen pouzvan a pro skladov an ci uchov av an ICT hardware nebo vnitrnch dat (napr. na archivnch p ask ach) na z aklade pokryt hranic ICT. Nen-li jedna nebo vce z v yse uveden ych polozek rzena organizac, ale tret stranou, mus to b yt r adne zdokumentov ano V ystup popis fyzick ych hranic ISMS, vcetne prpadn eho od uvodnen vyloucen nekter ych lokalit organizace z oblasti ISMS popis organizace a jejich geograck ych charakteristik souvisejcch s denic hranic oblasti p usobnosti ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 20 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek Integrace vsech oblast a hranic do oblasti a hranic ISMS v ystup 1.2 Předběžná definice oblasti působnosti ISMS v ystup 2.1 Definování oblasti a hranic organizace v ystup 2.2 Definování oblasti a hranic ICT v ystup 2.3 Definování fyzické oblasti a hranic ISMS Integrace Oblast p usobnosti ISMS lze popsat a zd uvodnit mnoha zp usoby Naprklad se vybere se fyzick a lokalita typu datacentrum nebo kancel ar a popisuj se zde p usobc kritick e procesy, z nichz kazd y zasahuje i do uzem mimo takovou lokalitu a tato uzem proto zan as do oblasti p usobnosti ISMS. Takov ym kritick ym procesem m uze b yt, naprklad, mobiln prstup do centr alnho informacnho syst emu. 2.4 Integrace vsech oblast a hranic do oblasti a hranic ISMS dokument popisujc oblast a hranice ISMS, obsahujc { klcov e charakteristiky organizace (jej funkce, struktura, sluzby, aktiva a oblast a hranice odpovednosti za kazd e aktivum) { procesy organizace cinn e v oblasti p usobnosti ISMS { kongurace zarzen a st v oblasti p usobnosti ISMS { predbezn y seznam informacnch aktiv v oblasti p usobnosti ISMS { seznam ICT aktiv v oblasti p usobnosti ISMS (napr. servery) { mapy lokalit v oblasti p usobnosti ISMS, s uvedenm fyzick ych hranic ISMS { popisy rol a odpovednost popisy ISMS a jejich vztahy se strukturou organizace { podrobnosti a zd uvodnen prpadn ych v yjimek z oblasti p usobnosti ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 22 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 23

7 2.5 V yvoj politiky ISMS a zsk an souhlasu od veden v ystup kroku 2.4 Integrace všech oblastí a hranic do oblasti působnosti a hranic ISMS v ystup kroku 1.1 Objasnění priorit organizace pro projekt ISMS v ystup kroku 1.3 Vytvoření zakázky a plánu projektu Mus se vypracovat politika ISMS a mus se zskat schv alen veden Denov an politiky ISMS mus vzt do uvahy stanoven cl u ISMS na z aklade pozadavk u organizace a priorit v oblasti informacn bezpecnosti organizace stanoven smeru a vodtek k akcm resen ym k dosazen cl u ISMS 2.5 V yvoj politiky ISMS a zsk an souhlasu od veden zv azen pozadavk u organizace, pr avnch nebo regulacnch a smluvnch z avazk u t ykajc se informacn bezpecnosti kontext rzen rizik v r amci organizace stanoven krit eri pro hodnocen rizik a denov an struktury ohodnocen rizik objasnen nejvyssmu managementu odpovednosti z pohledu ISMS zsk an souhlas veden organizace Dokument, kter y popisuje dokumentovanou politiku ISMS schv alenou vedenm Dokument m a b yt potvrzen znovu, v pozdejs f azi projektu, protoze je z avisl y na v ysledku hodnocen rizik Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 24 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 25 F aze projektu implementace ISMS { v ystupy krok u 2. f aze 3. Anal yza pozadavk u organizace na informacn bezpecnost Pro denov an relevantnch pozadavk u podporovan ych ISMS se mus identikovat informacn aktiva a zskat aktu aln stav informacn bezpecnosti v oblasti p usobnosti ISMS Kroky 3.1 Definování požadavků organizace na inf. bezpečnost 3.2 Identifikace aktiv v oblasti působnosti ISMS 3.3 Ohodnocení informační bezpečnosti Shrom azd en e informace mus veden organizace sdelit datum zah ajen projektu identikovat a dokumentovat podmnky pro realizaci projektu poskytnout jasne a srozumitelne popsan e vybaven organizace respektovat konkr etn okolnosti a situaci organizace identikovat pozadovan e urovne ochrany informac stanovit soubor informac potrebn ych pro celou nebo pro c ast organizace nach azejc se v oblasti implementace Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 26 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 27

8 3.1 Denov an pozadavk u organizace na inf. bezpecnost v ystup 1.1 Objasnění priorit organizace pro projekt ISMS v ystup 2.4 Integrace všech oblastí a hranic do oblasti a hranic ISMS v ystup 2.5 Vývoj politiky ISMS a získání souhlasu od vedení { politika ISMS Zdroje denice predbezn a identikace d ulezit ych informacnch aktiv a jejich aktu alnho zabezpecen identikace vize organizace a odvozen dopadu zjisten ych viz na budouc pozadavky na zpracov an informac anal yza st avajcch forem zpracov an informac, syst emov ych aplikac, komunikacnch st, lokalit aktivit a IT zdroje, Denov an pozadavk u organizace na inf. bezpecnost identikace vsech podstatn ych pozadavk u (pr avn a regulatorn pozadavky, smluvn z avazky, pozadavky organizace, pr umyslov e standardy, z akaznick e a dodavatelsk e smlouvy, pojistn e podmnky) zjisten urovne povedom o informacn bezpecnosti v kazd e provozn a administrativn jednotce organizace a odvodit pozadavky na vzdel av an a odbornou prpravu identikace hlavnch proces u, funkc, lokalit, informacnch syst em u a komunikacnch st a informacnch aktiv organizace klasikace kritick ych proces u a aktiv pozadavky na informacn bezpecnost odvozen e od pr avnch, regulatornch a smluvnch z avazk u organizace seznam verejne zn am ych zranitelnost, kter e budou reseny splnenm pozadavk u na informacn bezpecnost pozadavky na skolen a vzdel av an v informacn bezpecnosti Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 28 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek Identikace aktiv v oblasti p usobnosti ISMS v ystup 2.4 Integrace všech oblastí a hranic do oblasti a hranic v ystup 2.5 Vývoj politiky ISMS a získání souhlasu od vedení v ystup 3.1 Definování požadavků organizace na inf. bezpečnost Pro identikaci aktiv v oblasti ISMS je uv est informace: jedinecn e jm eno procesu popis procesu a souvisejc cinnosti (tvorba, ukl ad an, prenos, rusen) kriticnost proces v uci organizaci (kritick y, d ulezit y, podporujc) vlastnk procesu (organizacn slozka) procesy poskytujc vstupy a v ystupy tohoto procesu IT aplikace podporujc tento proces informacn klasikace aktiv (d uvernost, integrita, dostupnost, rzen prstupu, nepopiratelnost, a / nebo dals d ulezit e vlastnosti pro organizaci, naprklad, jak dlouho se informacn aktivum m a uchov avat) 3.2 Identikace aktiv v oblasti p usobnosti ISMS identikace informacnch aktiv hlavnch proces u organizace v oblasti p usobnosti ISMS Klasikace kritick ych proces u a informacnch aktiv Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 30 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 31

9 3.3 Ohodnocen informacn bezpecnosti v ystup 2.4 Integrace všech oblastí a hranic do oblasti a hranic v ystup 2.5 Vývoj politiky ISMS a získání souhlasu od vedení v ystup 3.1 Definování požadavků organizace na inf. bezpečnost v ystup 3.2 Identifikace aktiv v oblasti působnosti ISMS prov ad na z aklad e porovn an skutecn eho stavu informacn bezpecnosti organizace s pozadovan ymi cli organizace postup je n asledujc: vyberou se d ulezit e podnikov e procesy a procesn kroky souvisejc s pozadavky na informacn bezpecnost vytvor se komplexn blokov e sch ema pokr yvajc hlavn procesy organizace vcetne (logick e a technick e) infrastruktury, pokud jiz nen hotov e nebo udelan e pri anal yze organizace 3.3 Ohodnocen informacn bezpecnosti diskuse s relevantnmi klcov ymi pracovnky a anal yza soucasn e situace organizace z pohledu pozadavk u na informacn bezpecnost. Naprklad, kter e procesy jsou kritick e, jak funguj soucasn e dobe? (V ysledky se pozdeji pouzij pri ohodnocen rizika.) stanov se nedostatky opatren porovn anm st avajcch opatren s drve identikovan ymi pozadavky na opatren zkompletuje se a zdokumentuje soucasn y stav. dokument shrnujc ohodnocen y stav zabezpecen organizace a hodnocen zranitelnost Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 32 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 33 F aze projektu implementace ISMS { v ystupy krok u 3. f aze 4. Ohodnocen rizik a vypracov an pl anu zvl adnut rizik Denuje se metodika ohodnocen rizik, identikuj se, analyzuj se a hodnot se rizika informacn bezpecnosti, aby se mohly vybrat varianty zvl ad an rizik, cle opatren a vlastn opatren Kroky 4.1 Ohodnocení rizik 4.2 Výběr cílů opatření a opatření 4.3 Získání souhlasu vedení organizace s implementací a provozováním ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 34 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 35

10 4.1 Ohodnocen rizik v ystup 3. Analýza požadavků organizace na informační bezpečnost { stav bezpecnosti a seznam aktiv v ystup 2. Definování oblasti působnosti ISMS a politiky ISMS standard ISO/IEC { Rzen rizik Ohodnocen rizik m a identikovat hrozby a jejich zdroje identikovat st avajc a pl anovan e opatren identikovat zranitelnosti, kter e mohou b yt vyuzt hrozby a zp usobit tak skodu na aktivech nebo na organizaci identikovat mozn e dopady utok u na aktiva z hledisek ztr at d uvernosti, integrity, dostupnosti, nepopiratelnosti... ohodnotit dopady informacne bezpecnostnch incident u na podnik an 4.1 Ohodnocen rizik ohodnotit pravdepodobnosti sc en ar u incident u odhadnout urovne rizik porovnat urovne rizik v uci krit erim hodnocen rizik a krit erim prijatelnosti rizik popis metodologie ohodnocen rizik v ysledek ohodnocen rizik Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 36 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek V yber cl u opatren a opatren v ystup 4.1 Ohodnocení rizik standard ISO/IEC standard ISO/IEC je nutn e si uvedomit, ze seznam opatren je velmi pravd epodobn e citlivou informac Seznam cl u opatren a vybran ych opatren Pl an zvl ad an rizik { Popis vztahu mezi riziky a vybran ych volbami resen zvl ad an rizik { Popis vztahu mezi riziky a vybran ych cl u opatren a opatren (rescch snzen rizik) 4.3 Zsk an souhlasu s implementac a provozov anm ISMS v ystup 1.3 Vytvoření zakázky a plánu projektu v ystup 2. Definování oblasti působnosti ISMS a politiky ISMS v ystup 4.1 Ohodnocení rizik { metodologie, v ystup ohodnocen rizik v ystup 4.2 Výběr cílů opatření a opatření Nejvyss management mus rozhodnout o prijet zbytkov eho rizika a mus vydat povolen provozovat ISMS. Tato rozhodnut maj vych azet z ohodnocen rizik a z porovn an dopad u, kter e by mohly nastat po implementaci ISMS s dopady, ke ker ym by doslo bez implementace ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 38 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 39

11 4.3 Zsk an souhlasu s implementac a provozov anm ISMS F aze projektu implementace ISMS { v ystupy krok u 4. f aze psemn e sdelen vedenm o schv alen implementace ISMS rzen prijet zbytkov ych rizik. prohl asen o aplikovatelnosti, Statement of Applicability (SoA) Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 40 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek N avrh ISMS Finalizace pl anu implementace ISMS, n avrh bezpecnosti organizace na z aklad e vybran ych voleb zvl ad an rizik, pozadavk u na dokumentaci, n avrhu opatren integrujcch poskytov an bezpecnosti pro ICT, Kroky fyzick ych proces u a proces u organizace a specick ych pozadavk u na n avrh ISMS 5.1 Návrh informační bezpečnosti v organizaci 5.2 Návrh fyzické a ICT informační bezpečnosti 5.3 Návrh informační bezpečnosti specifické pro ISMS 5.4 Vytvoření finálního plánu projektu ISMS 5.1 N avrh informacn bezpecnosti v organizaci standard ISO/IEC a v ystupy predchozch etap pokryt administrativnch aspekt u informacn bezpecnosti, vcetn e odpov ednosti organizace za zvl ad an rizik. N avrh n aln struktury organizace z pohledu informacn bezpecnosti, v kazd em oddelen mus b yt nekdo zodpovedn y za informacn bezpecnost a osoba odpovedn a za meren ISMS N avrh prostred pro dokumentaci ISMS N avrh politiky informacn bezpecnosti Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 42 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 43

12 5.1 N avrh informacn bezpecnosti v organizaci V yvoj standard u (predpis u) a procedur informacn bezpecnosti Sestava aktivit koncc v politik ach, clech, procesech a postupech zvl ad an a zlepsov an informacn bezpecnosti na z aklade potreb a rizik organizaci. struktura organizace, role a odpovednosti rol dokument shrnujc pozadavky na data ISMS z aznam u a dokumentaci opatren, denujc uloziste a sablony pro pozadovan e z aznamy o ISMS dokument s politikou informacn bezpecnosti strukturovan y a podrobn y pl an implementace opatren t ykajcch se bezpecnosti organizace jako souc ast konecn eho pl anu projektu ISMS standardy (predpisy) v oblasti informacn bezpecnosti informac procedury pro plnen standard u informacn bezpecnosti 5.2 N avrh fyzick e a ICT informacn bezpecnosti standard ISO/IEC a v ystupy predchozch etap pokryt aspekt u informacn bezpecnosti specicky spojen e s odpov ednost za operace snizujc rizika ICT fyzick a bezpecnost zahrnuje aspekty informacn bezpecnosti specicky souvisejc s odpov ednost za manipulaci s fyzick ym prostredm (budovy a jejich infrastruktura snizujc rizika). Mus se splnit pozadavky stanoven e organizac a technickou implementac opatren snizujcch rizika strukturovan y a podrobn y pl an implementace t ykajcch se informacnch a komunikacnch technologi a fyzick e bezpecnosti jako souc ast pl anu projektu ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 44 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek N avrh informacn bezpecnosti specick e pro ISMS v ystup 2.5 a 5.1 { politika ISMS v ystup 4.3 { prohl asen o aplikovatelnosti, Statement of Applicability (SoA) obsahujc cle opatren a vybran a opatren standard ISO/IEC { jak merit ucinnost ISMS 5.3 N avrh informacn bezpecnosti specick e pro ISMS vstupy potrebn e k prezkoum an ISMS managementem procedury pro prezkoum an ISMS managementem pokr yvajc audit a monitorov an a meren M a b yt vypracov an pl an zavazujc veden organizace k prezkumu fungov an ISMS a k pr ubezn emu zlepsov an ISMS jedn a se o akce typu monitoring, m eren, intern audit ISMS, vzd el av an a zvysov an pov edom, reakce na incidenty, prezkum vedenm organizace, vylepsov an ISMS vcetn e n apravn ych a preventivnch akc Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 46 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 47

13 5.4 Vytvoren n alnho pl anu projektu ISMS F aze projektu implementace ISMS { v ystupy krok u 5. f aze v ystupy 2.4 Integrace všech oblastí a hranic do oblasti a hranic ISMS 2.5 Vývoj politiky ISMS a získání souhlasu od vedení 5.1 Návrh informační bezpečnosti v organizaci 5.2 Návrh fyzické a ICT informační bezpečnosti 5.3 Návrh informační bezpečnosti specifické pro ISMS pl an aktivit nezbytn ych k prov ad en vybran ych opatren. n aln implementacn pl an projektu ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 48 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 49 Integrace s existujcmi syst emy rzen bezpecnosti ISO pozaduje ISMS budovat sekvencn e implementovat opatren drve nez se dokonc ohodnocen rizik standard nepovoluje Co delat, kdyz v dobe budov an ISMS jiz nejak y syst em ochran funguje? nekter a opatren mohou b yt zbytecne siln a certikace by nemela potvrdit validnost takov eho syst emu mus se akceptovat, ze proveden ohodnocen rizik m uze vynutit eliminaci nekter ych dosud pouzvan ych zbytecne siln ych opatren mus se prov est anal yza nepokryt ych mst (gap analyzis) mezi dosud pouzvan ymi opatrenmi a pozadovan ymi opatrenmi Integrace s existujcmi syst emy rzen bezpecnosti Bottom-up anal yza nepokryt ych mst Vyhovuj dosud pouzvan a opatren pozadavk um Prohl asen o aplikovatelnosti? Top-down anal yza nepokryt ych mst Jsou opatren pozadovan a v Prohl asen o aplikovatelnosti jiz implementovan a? rychlejs postup, snadneji se mohou odhalit a odstranit d ale jiz nepotrebn a opatren Kdy se stane dokument Prohl asen o aplikovatelnosti denitivn? az kdyz se ohodnotila se vsechna rizika, zv azila se a zdokumentovala aplikovatelnost vsech identikovan ych opatren Prohl asen se zacn a tvorit pred implementac prv eho opatren a je hotovo po dokoncen implementace poslednho opatren Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 50 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 51

14 Integrace s existujcmi syst emy rzen kvality Z adouc je integrace v co nejsirsm rozsahu Syst em dokumentace ISMS m a rozsrit syst em zaveden y pro rzen kvality (ISO 9001) a b yt nov ym, specick ym syst emem dokumentace pro ISMS pokud syst em rzen kvality nen dosud nen zaveden y, je nutn e se rdit pozadavky ISO Model syst emu dokumentace viz pozd eji tato predn aska Rzen projektu Pred zah ajenm prvnho kroku implementace ISMS mus projekt mt { pridelen e zdroje a { ustanoven y adekv atn e strukturovan y, cinnosti schopn y projekcn t ym Velk a organizace: rdic v ybor + projekcn t ym mal a organizace: rdic v ybor = projekcn t ym Projekcn t ym { rd detailn kazdodenn pr ubeh implementace zkusen y manazer projektu { { prideluje pr aci, { oznamuje zkluzy s efovi rdicho v yboru nebo CEO { je autorizovan y implementovat pl an projektu ISMS schv alen y vedenm organizace clenov e z (casti) organizace pokryt e ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 52 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 53 Rzen projektu Rzen projektu Clenov e projekcnho t ymu typicky s efov e oddelen rzen kvality, rzen proces u, personalista, v ychova, rzen IT, spr ava budov, manazer odpovedn y za informacn bezpecnost, zkusen y expert v oblasti informacn bezpecnosti, prodejn odbor, rzen provozu, administrativa,... v t ymu mus b yt lid e schopn formulovat pozadavky a z ajmy klcov ych c ast organizace { implementace ISMS si vynut zmeny ve remn kulture S ef projekcnho t ymu clenov e t ymu ho mus uzn avat, mus b yt presvedcen y o dosazitelnosti cl u v case odsouhlasen em vedenm mus b yt pragmatick y a schopn y identikovat resen organizacnch probl em u ovliv nujc implementaci ISMS ne nekdo z podp urn ych oddelen rmy { ti nepovazuj ISMS za d ulezit y nikdy nesm b yt podrzen y nejak e IT roli, ISMS nen IT projekt mus b yt uzn avan ym a zkusen ym manazerem v organizaci v mal e organizaci to m uze b yt i manazer soucasne odpovedn y za informacn bezpecnost, ve velk e organizace by se melo jednat o,,pr aci na pln y uvazek" Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 54 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 55

15 obsahuje harmonogram Pl an projektu obsahuje sch ema odpov ednost na vysok e urovni rzen rmy obsahuje denici kritick e cesty do dokoncen projektu pl an priprav projekcn t ym, prover ho CEO a odsouhlas veden rmy pl anu mus rozumet s efov e oddelen ne vce nez 2 strany A4, nikdo by jinak necetl pl an projektu mus poctat s odporem napr. IT odd elen pl an mus v harmonogramu poctat s tr enov anm na principy ISMS na vsech urovnch (od byznysman u pres IT experty az po bezpecnostn manazery) Sledov an pr ub ehu projektu Pro veden rmy se mus pripravit dokument uv ad ejc odhad n aklad u na implementaci, posouzen a kvantikaci ocek avan ych prnos u, kdo je odpovedn y za co a v jak ych termnech Veden rmy m uze sledovat pr ub eh resen pomoc oponentur vypisovan ych v jist ych termnech Po dokoncen prohl asen o aplikovatelnosti, znaj se nutn a opatren Po dokoncen implementace uvodn sestavy procedur rescch urcen a opatren Po uveden ISMS do provozu a pred spustenm certikace Pravidelne kazd y rok provozov an ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 56 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 57 Role (externch) konzultant u Proc a kdy pouzt extern konzultanty maj zkusenosti a znalosti potrebn e pro uspesn e nasazeni ISMS st avajc zdroje rmy nestac na vypracov an ISMS projektu a rma potrebuje jejich okamzit e poslen Proc nepouzvat extern konzultanty drasticky odcerp avaj zdroje, hlavne tm, ze si casto uctuj dopl nkov e pr ace, kter e prohlasuj za absolutne potrebn e v organizaci se nikdo nenauc budovat ISMS Kdy a kde mohou extern konzultanti re aln e pomoci zsk an n azoru na z avaznost rizik, kter ym je rma vystavena poradenskou cinnost v oblasti resen konkr etnch, typicky technick ych probl em u, v oblasti ohodnocov an vnitrnch a vnejsch hrozeb, v oblasti volby adekv atnch opatren poradenstvm pri resen klcov ych krok u v projektu, pri oponentur ach kritick ych dokument u Dobr a praxe Role manazera informacn bezpecnosti Ex. jeden manazer odpovedn y za vsechny aktivity souvisejc s informacn bezpecnost v organizaci, a to jak na strategick e, tak i na kazdodenn urovni M uze b yt ustanoven y jeste drve nez se ustanov rdic v ybor a t ym projektu ISMS M uze participovat na ustanoven rdicho v yboru a t ymu projektu ISMS Nemus nutn e b yt osobou ustanovenou vedenm jako expert (specialista) na bezpecnost informac ve velk e organizaci jsou d ulezitejs manazersk e dovednosti nicm ene manazer informacn bezpecnosti mus b yt trvale skolen y na aktu aln urove n bezpecnosti informac Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 58 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 59

16 Role experta (specialisty) na bezpecnost informac informacn bezpecnost m a spoustu technick ych aspekt u a pri n avrhu a implementaci ISMS se mus resit spousta technick ych probl em u Pro resen informacn bezpecnosti mus b yt dostupn znalci detail u hrozeb pro informacn bezpecnost kongurov an relevantnch bezpecnost opatren zp usob u efektivnho monitorov an a ohodnocov an,...,...,... Resen { rol specialisty lze pov erit (a trvale proskolovat) nekoho (nekter e) z clen u IT t ymu (vets organizace) nebo manazera informacn bezpecnosti (mens organizace) Do projektu ISMS se mus zahrnout i dals specialist e personalist e, experti resc spr avu (podnikatelsk ych) rizik v organizaci, are alov bezpec aci, clenov e t ymu internho auditu,... Komunikace, komunikace,..., pl an vnitrn komunikace Komunikujte zavcas a casto Kazd y program zmenov eho rzen (tm zav aden ISMS je) mus mt velmi dobre navrzen y a implementovan y pl an vnitrn komunikace zahrnujc Top down komunikaci o vizch informacn bezpecnosti { proc je ISMS nutn y { jak e jsou pr avn odpovednosti organizace { jak se zmen podnikatelsk e procesy po zaveden programu ISMS { jak e budou prnosy zaveden ISMS pravideln e brngy na vsech urovnch o postupu resen z hlediska plnen cl u pl anu implementace ISMS jako integr aln souc ast brng u o norm alnch podnikatelsk ych procesech mechanismy zapojen,,lid z byznysu"do v yvoje klcov ych komponent ISMS (rdc v ybor, t ym projektu,... ) pokrac. Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 60 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 61 Komunikace, komunikace,..., pl an vnitrn komunikace Komunikace, komunikace,..., pl an vnitrn komunikace mechanismy zajist'ujc pravidelnou a bezprostredn zpetnou vazbu od lid ve rme a ovlivnen ych tretch stran { jejich prm e zkusenosti z inici alnch implementac ISMS mohou efektivne ovlivnit n aln syst em ISMS (f aze,,check") podporov an prm e komunikace, vnitrn komunikace via intranet publikov anm zpr av o postupu a konkr etnch v ysledcch, diskusn f ora, zavedenm adresy,,piste v ykonn emu rediteli",... Pro usp esnost ISMS nestac d at veden organizace spolehliv a relevantn csla, prnosy ISMS mus b yt vnman e vsemi zam estnanci, v rozsahu relevantnm jejich pozici Hlavn hnac silou ISMS je politika informacn bezpecnosti Hlavn hnac silou ISMS je politika informacn bezpecnosti strucn y dokument schv alen y vedenm organizace, spl nujc pozadavky standardu ISO Politika informacn bezpecnosti { b azov y zdroj informac reprezentace vize veden organizace o informacn bezpecnosti mus existovat d ukaz formou z apisu z jedn an veden organizace, potvrzujc, ze byla projedn ana s rdicm v yborem ISMS a odsouhlasena rdicm v yborem ISMS tot ez plat o vsech revizch politiky Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 62 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 63

17 Ohodnocov an rizik Ohodnocov an rizik je podstatou ISMS Porozum en ohodnocen rizik je klcem k usp esnosti projektu Veden organizace zav ad politiku informacn bezpecnosti protoze ex. v yznamn a rizika z pohledu dostupnosti, zachov an d uv ernosti a integrity informac organizace Veden organizace rozhoduje implementovat ISMS, aby se tato politika pln e a systematicky implementovala veden samo nedel a detailn ohodnocen rizik, pouze jasne vytycuje jak s riziky v projektu ISMS zach azet Mus se stanovit krit eria pro akceptov an rizika { velikost prijateln eho rizika Ohodnocov an rizik Riziko reprezentuje moznost, ze jist a akce, cinnost, povede ke ztr at am (k nez adoucm v ysledk um) kombinace pravd epodobnosti ud alosti a jejich d usledk u Riziko v kontextu informacn bezpecnosti je jedno z mnoha rizik, kter ym mus organizace celit Rizka mohou b yt spekulativn, z amerne vyuzvan a, mohou prpadne i generovat zisk nespekultavn, jsou zdrojem pouze ztr at, skod na aktivech Nespekulativn rizika zvl adaj procesy rzen rizik Ohodnocov an rizik je souc ast proces u rzen rizik Pro rzen rizik v kontextu bezpecnosti informac lze pouzt obecnou univerz aln metodiku rzen rizik Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 64 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 65 Ohodnocov an rizik Ohodnocov an rizik Pl an rzen rizik m a ctyri cle Ohodnocov anm rizik se rozum { elimace rizik { rizika, kter a nelze eliminovat, snzit na prijatelnou hodnotu a { bud'to s nimi zt a pouzvat opatren, kter a je udrz na prijateln ych hodnot ach { nebo je pren est na jin y subjekt { pojistenm pro skod am Rzenm rizik se rozum procesy resc ohodnocov an rizik { anal yza a vyhodnocen rizik zvl ad an rizik { v yber a implementace opatren akceptace rizik { rozhodov an o prijatelnosti rizika systematick e zkoum an aktiv, hrozeb, zranitelnost a dopad u s clem ohodnotit pravdepodobnost v yskytu a v ysi skody uplatnenm jist e akce/cinnosti Ohodnocov an rizik je form aln proces je pl anovateln y, m a sv a vstupn data, jeho v ystupy jsou zaznamen avan e Kdo prov ad ohodnocov an rizik extern konzultant (extern rma) vlastn t ym { v yhodnejs varianta, ohodnocov an se opakuje pri zmen ach podmnek Existuj softwarov e n astroje pro ohodnocov an rizik Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 66 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 67

18 Opatren Volba opatren prostredek pro ovl ad an rizika politka, procedura, n avod, rdic/organizacn struktura, n astroj povaha { administrativn, technick a, logick a, rdic, pr avn,... synonyma: protiopatren, bezpecnostn (proti)opatren,... Opatren v kontextu informacn bezpecnosti m uze mt kombinovanou povahu mix procedury, technologie, lidsk e cinnosti Mozn a klasikace opatren z pohledu rizik odrazujc { snizuj pravdepodobnost z amern eho utoku preventivn { zabra nuj uspesnosti utoku nebo skodliv emu dopadu opravn a { snizuj efekt utoku detektivn { odhaluj utok a spoust prventivn nebo opravn e opatren Volba opatren Implementace opatren mus b yt n akladov e efektivn Volbu mozn ych opatren lze prov est po ohodnocen rizik s clov ymi krit erii n aklady na porzen a provoz opatren neprev ys identikovan e dopady hrozeb klasikace rizik odpovd a pl anovan ym investicm porad implementac opatren je d ano prioritami prslusn ych rizik Druh y nejd ulezit ejs dokument ISMS po politice bezp. informac je Prohl asen o aplikovatelnosti seznam vsech aplikovateln ych opatren a politikami a procedurami, kter e je aplikuj ISO Annex A uv ad takov y (minim aln) seznam nepouzit nekter eho z nich by melo b yt zd uvodnen e Dalsm zdrojem pro volbu je ISO { Code of Best Practice... Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 68 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 69