ISMS { Syst em rzen informacn bezpecnosti

Transkript

1 Syst em rzen informacn bezpecnosti ISMS { Syst em rzen informacn bezpecnosti PV 017 Bezpecnost IT Jan Staudek Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 Information Security Management System, ISMS, Syst em rzen informacn bezpecnosti Souc ast celkov eho syst emu rzen organizace: struktura organizace, politiky, pl anovac cinnosti, odpovednosti, praktiky, procesy, zdroje Reprezentace { projev { jak organizace pristupuje k rizik um dan ym orientac na informacn ekonomiku Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC Syst em rzen informacn bezpecnosti Syst em rzen informacn bezpecnosti Cl rzen pomoc proces u ISMS: spr avn e fungujc procesy podporujc informacn bezpecnost v cinnostech organizace, konkr etn e jejich n avrh, implementace, zaveden do provozu, provozov an, monitorov an, prezkoum av an, udrzov an a zajist'ov an stanoven e urovn e zarucitelnosti jejich kvality Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC

2 Syst em rzen informacn bezpecnosti, ISO 27001/ISO B aze pro budov an ISMS { standardy ISO 27001/ISO ISO { rk a jak navrhnout ISMS a co m a ISMS delat, nerk a, kter a bezpecnostn opatren m a obsahovat ISO { kodex nejlepsch praktik zajist'ujcch informacn bezpecnost podporujcch, zpres nujcch/dotv arejcch detaily chov an organizace podle ISO { rk a kter a bezpecnostn opatren m uze ISMS obsahovat, nerk a co m a ISMS delat, jak vybran a opatren prosazovat cca 15let a historie v yvoje, na poc atku st al britsk y standard BS 7799, ten byl posl eze adoptovan y jako standard ISO Spln en pozadavk u ISO lze potvrzovat certikac, v soucasnosti drz certik at spln en ISO tisce ISMS Standard ISO 27001:2013 v roli specikace ISMS N azev { Information Security Management Systems { Specication with Guidance for Use Specikace ISMS jak mus b yt ISMS udelan y Standard specikuje procesy ustanoven a rzen (spr avy, managementu) ISMS procesy zav aden a provozov an ISMS procesy monitorov an a prezkoum av an ucinnosti ISMS procesy udrzov an a zdokonalov an ISMS procesy spr avy dokumentov e z akladny ISMS odpovednost veden organizace za projekt ISMS procesy prezkoum av an ISMS audity nez avislou tret stranou procesy aktualizov an (,,zesoucas nov an") ISMS cle a principy vybran ych bezpecnostnch opatren (ilustrativn v ycet uv ad ve sv em Dodatku A) Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC Proc pouzvat standard ISO 27001? Protoze... je specikac dosud zn am ych nejlepsch rdicch praktik (nejlepsch { mezin arodnch, vseobecn e akceptovan ych) a soucasne je n avodem k jejich pouzit specikuje ISMS netechnickou a nejurisdickou formou, nev azanou na konkr etn technologie je systematick y, resen informacn bezpecnosti pokr yv a pln e jeho validnost je prok az ana v mnoha konkr etnch nasazen produkt vybudovan y podle ISO lze extern e certikovat, v soucasnosti se celosv etov e m escn e certikuj stovky implementac ISMS uzce navazuje na standard ISO 9001, standard kvality podnikatelsk ych proces u organizace Co je vlastne ISMS? Jedn a se o konkr etn e denovan y, DOKUMENTOVANY, kontrolovateln e uplat novan y syst em rzen informacn bezpecnosti ve striktn e vymezen e oblasti organizace Vlastnosti a charakter ISMS na prvn pohled v yrazn e charakterizuje v ycet pozadovan e a doporucovan e dokumentace ISMS Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC

3 V yctov a ilustrace pozadovan e dokumentace ISMS Oblast p usobnosti ISMS Casto samostatn y, kr atk y dokument obv. vypracovan y hned na poc atku zav aden ISMS Politika Informacn bezpecnosti, stanoven bezpecnostnch cl u Celkov a bezpecnostn politika, co proti cemu se chr an Metodologie ohodnocov an a zvl ad ani rizik Typicky 4-5 stran, vypracovan ych drv, nez se spust ohodnocov an rizik Denice pravidel, jak prov adet rzen rizik, sk aly, urove n akceptovatelnosti rizika Jak zvl adat neakceptovateln a rizika (zvolit opatren, resit pojistenm, zrusenm rizikov e aktivity, zv ysenm urovne akceptovatelnosti,... V yctov a ilustrace pozadovan e dokumentace ISMS Prohl asen o aplikovatelnosti bezpecnostnch opatren Kter a opatren se zvolila a proc Pl an zvl ad an rizik Kdo kter e opatren za kolik a v jak em case implementuje Dokument okamzite schvalovan y vedenm (d av a,, penze") Zpr ava o ohodnocen rizik V ysledek ohodnocen rizik Denice rol a odpov ednost v oblasti informacn bezpecnosti Nejleps metodou je popsat role a odpovednosti pres vsechny politiky a procedury Co nejpresneji! Ne melo by se prov est, ale CISO kazd e pondel v XX:YY udel a XYZ Role a odpovednosti tretch stran se denuj ve smlouv ach Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC V yctov a ilustrace pozadovan e dokumentace ISMS Soupis aktiv Popis akceptovateln eho pouzv an aktiv Nejl epe formou politiky, specikac pravidel pouzv an kazd eho aktiva Politika rzen prstupu Schvalov an prstupu k urcit ym informacm a syst em um na aplikacn (byznys) urovni a na technick e urovni, m uze pokr yvat logick y i fyzick y prstup. Lze vypracovat az po ohodnocen a zvl adnut rizik. Provozn procedury spr avy IT pro zmenov e rzen, pouzv an sluzeb tretch stran, z alohov an, st'ovou bezpecnost, zvl ad an skodliv eho software, likvidaci dat a zarzen, prenosy informac, monitorov an,... Lze vypracovat az po ohodnocen a zvl adnut rizik. V yctov a ilustrace pozadovan e dokumentace ISMS Principy bezpecn eho syst emov eho inzen yrstv Jak zabudovat bezpecnostn techniky do vsech urovn { laden, testov an, akceptace, ziv y provoz, techniky autentizace, rzen relac Bezpecnostn politika pro dodavatele jak lustrovat potenci alnho dodavatele, jak udelat ohodnocen rizik dodavatele, kter a bezpecnostn opatren d at do smlouvy a jak dozorovat jejich plnen, jak lze menit smlouvu, jak ukoncit prstupy po vyprsen smlouvy,... Procedura reakce na incidenty jak jsou zaznamen av any, klasikov any a zvl ad any bezpecnostn ud alosti a incidenty, zranitelnosti Legislativn, regulacn a smluvn pozadavky Delat co nejdrve, m a vliv na hodne zb yvajcch dokument u a prac Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC

4 V yctov a ilustrace pozadovan ych protokol u ISMS Pln en programu skolen a zvysov an kvalikace Zajist'uje person aln oddelen V ysledky m eren a monitorov an Denice kazd eho opatren by mela obsahovat KPI (key performance indicators), kter e je potreba merit a monitorovat Program vnitrnch audit u V yctov a ilustrace pozadovan ych protokol u ISMS V ysledky a z avery oponentur Z apisy z jedn an managementu V ysledky opravn ych akc Z aznamy (logy) uzivatelsk ych aktivit, v yjimecn ych stavu a bezpecnostnch ud alost rocn pl an vnitrnch audit u kdo bude auditor, metoda auditu, krit eria hodnocen V ysledky vnitrnch audit u Auditn zpr avy, zpr avy o v ysledcch audit u Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC V yctov a ilustrace doporucovan e dokumentace ISMS Procedura spr avy dokument u N astroje pro spr avu protokol u Procedura internho auditu Procedura opravn e akce Politika Bring your own device (BYOD) Politika pr ace ze vzd alen eho pracovist e a z mobilnch zarzen Politika klasikace informac Politika hesel Politika likvidace a destrukce Politika cist eho stolu / obrazovky Politika zm enov eho rzen V yctov a ilustrace doporucovan e dokumentace ISMS Politika z alohov an Politika prenosu informac Anal yza dopad u cinnosti na informacn bezpecnost Pl an procvicov an a testov an Pl an udrzby Pl an oponentur Strategie zachov an kontinuity cinnosti Systematizaci, hierarchii dokumentace ISMS probereme v predn asce o projektov an ISMS Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC

5 Druh y vymezujc faktor ISMS { oblast p usobnosti Co je vlastne ISMS? Rzen informacn bezpecnosti lze uplat novat pouze v prostoru uvnitr vymezen e oblasti { scope oblast nemus nutne b yt cel a organizace informace do oblasti vstupuje a oblast opoust pomoc urcen ych n astroj u { kontrolovane v oblasti se mus nach azet upln a chr anen a informace vc. vsech souvisejcch technick ych i netechnick ych proces u ISMS v denovan e oblasti zajist'uje rzen informacn bezpecnosti v kontextu podnikatelsk ych proces u organizace (proces u cinnosti) Z denice standardem se jedn a se o syst em rzen, kter y je dokumentovan y, systematicky implementovan y a rzen y, trvale prezkoum avan y, auditovan y a kontrolovan y a trvale vylepsovan y (aktualizovan y) a D UV ERYHODN Y syst em pro rzen informacn bezpecnosti. D ukazem d uv eryhodnosti ISMS je jeho certikace certikaci prov ad tret, nez avisl a certikacn instituce (autorita) certikac ISMS se zsk av a d ukaz uplnosti a kvality ISMS pro podnik an je certikace cenen a, nikoli vsak vzdy nezbytn a certikace prispv a k dosazen maxim aln, dlouhodobe platn e, hodnoty podnikatelsk ych proces u vzdy jde o n aln etapu v yvoje a zaveden ISMS Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC Informacn bezpecnost je probl em rzen na urovni veden Podpora od managementu / veden organizace N avrh a implementace ISMS je probl em rzen, nikoli technologick y probl em dobr y manazer i bez znalost a hlubok eho porozumen technologim zabezpecov an a bez proniknut do podstaty techto technolog je schopn y uspesne v est n avrh a implementaci ISMS i ten nejzkusenejs specialista { bezpecnostn expert bez manazersk ych dovednost a vlastnost, pri veden implementace ISMS t emer jiste selze Manazersk e dovednosti a vlastnosti znalost metod rzen projektu, schopnost ucinne prosazovat cle, komunikativnost, podnikatelsk a zrucnost, schopnost autorizovat a predat pravomoce podrzen ym, schopnost kontinu alne resit monitoring, udrzov an k azne v t ymu... Vrcholov y management se mus pr ukazn e zav azat, ze na realizaci projektu ISMS zajist ekonomick e a person aln zdroje Pozadavek prmo uveden y v ISO 27001, pro certikaci povinn y d ukaz Vrcholov y management mus jasne stanovit urove n preference projektu ISMS v uci ostatnm projekt um organizace Projekt ISMS je projektem zm eny rzen v organizaci nelze jej jen tak jednoduse transplantovat do existujcch proces u a procedur podnikatelsk ych projekt u zaveden ISMS vyvol a radu zmenov ych rzen Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC

6 Informacn bezpecnost je probl em rzen na urovni veden Klcovou roli hraje s ef projektu ISMS je osobou, na kterou se ostatn spol ehaj, ze jim zajist objasnen podstaty veci, komfort pro pr aci a podporu Prpravenost na usp esnou roli s efa projektu ISMS pozaduje znalost v yznamu informacn bezpecnosti jak v obecn e rovine, tak pro vlastn organizaci a schopnost tento v yznam srozumitelne vysvetlit, sdelit obezn amenost s tm, proc pr ave ISO je ta spr avn a cesta, a to pozaduje z akladn znalost standardu ISO a princip u jeho uplatnen obezn amenost s tm, jak bude projekt ISMS strukturovan y, jak ymi kroky bude se postupovat a proc se bude takto postupovat vedom, zda se budou pouzvat extern konzultanti nebo zda bude vse resit s ef projektu s am a obezn amenost s klady a z apory obou prstup u Informacn bezpecnost je probl em rzen na urovni veden Odpovednou osobou za ISMS v uci veden rmy typicky b yv a v ykonn y reditel, CEO, Chief Executive Officer odpovednost osoby jej kari era z avis na uspechu podnik an rmy zav adejc ISMS m a jednatelsk e pravomoci v uci tretm stran am i jednatelsk e pravomoci uvnitr spolecnosti CEO je odpovedn y za vetsinu v ykon u v organizaci, ISMS je jednm z nich jestlize do role CEO presel z role manazera IT/bezpecnosti, je to pro roli CEO z pohledu ISMS jenom prnos Vrcholov y management rmy mus vzt projekt ISMS za sv uj prokazatelne, z apisem o rozhodnut apod. pak nancn reditel d a nance a mand at k v yvoji ci k zesilujc aktualizaci ISMS Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC Podpora od managementu / veden organizace CEO mus s efovi projektu ISMS denovat strategick a rizika pro organizaci a jejich projevy/preference z pohledu rizik pro informacn bezpecnost { napr. je riziko kr adeze dusevnho vlastnictv v yznamnejs nez nekolikadenn v ypadek cinnosti organizace? je dodrzov an pr avnch predpis u d ulezitejs nez snizov an n aklad u? m a b yt resen ISMS levnejs za cenu dosazen nizs z aruky za informacn bezpecnost nebo drazs a d uveryhodnejs? pri koniktu dodrzov an pr avnch predpis u dvou a vce jurisdikc v r uzn ych z ajmov ych trznch oblastech kter a jurisdikce m a vyss prioritu? jak velk a provozn pruznost se povol pridruzen ym spolecnostem, aby byla zajistena konzistentn urove n informacn bezpecnosti? na jak dlouho se mus pl anovat dostupnost konkr etnch podp urn ych sluzeb? Podpora od managementu / veden organizace Role CEO, v ykonn eho reditele organizace, z pohledu ISMS m a b yt hnac slou programu ISMS a dosazen jeho certikace predkl ad a vyssmu managementu organizace informace o pr ubehu projektu a res vznikajc n amitky a probl emy odpovd a za integraci ISMS do ostatnch podnikatelsk ych proces u CEO m uze, ale nemus b yt (a neb yv a) s efem projektu ISMS Podpora vyssm managementem organizace z pohledu ISMS vyss managemente ustanov rdic v ybor z odpovedn ych lid naprc cel ym spektrem podnikatelsk ych proces u organizace v ybor je veden y CEO nebo osobou tmto v ykonn ym reditelem jmenovanou Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC

7 Podpora od managementu / veden organizace Takze CEO mus plne porozumet podnikatelsk ym prnos um dan ych prosazenm informacn bezpecnosti vc. n avratu investic prezentovat vyssmu managementu a cel emu f oru organizace strategii bezpecnosti informac (tu pravdepodobne priprav s ef projektu ISMS) organizovat sledov an postupu projektu ISMS vyssm managementem jmenovat rdic v ybor, kter y bude pr ubezne kontrolovat pr ubeh projektu a podporovat s efa projektu (clenov e v yboru maj b yt vhodne v azan na uspechu projektu) b yt schopn y vysvetlovat a prosazovat preferenci projektu ISMS d avat osobn prklad pri pouzv an praktik a dodrzov an procedur stanoven ych ISMS Podpora od managementu / veden organizace Uspesn a implementace ISMS absolutne z avis na re aln e a nepredstran e podpore vrcholov ym managementem organizace Projekt mus podporovat odpov edn a osoba, genericky { CEO odpovedn a = jej kari era mus n alne z aviset na uspesnosti podnikatelsk e entity, kter a uvazuje o aplikaci ISO tou nemus nutne b yt v ykonn y reditel (CEO) cel e organizace, mus b yt odpovedn a za c ast organizace vymezen e zabezpecovanou oblast CEO mus pln e podporovat s efa projektu, pon evadz projekt ISMS je podnikatelsk y projekt, nikoli pouh y IT projekt ISMS mus odpovdat modelu podnik an, strategii a cl um podnik an pro zaveden ISMS se mus pridelit adekv atn zdroje jedinou osobou, kter a je toto schopn a zajistit je CEO Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC Role s efa informacn bezpecnosti, CISO CISO, Chief Information Security Officer M ame tedy 3 role participujc na realizaci ISMS + rdic v ybor informacn bezpecnosti CEO { v ykonn y reditel, role dan a statutem organizace, m a odpovednost za vesker e v ykon v organizaci, tedy i ze ISMS CISO { spr avce informacn bezpecnosti, role dan a statutem organizace, m a odpovednost za zajist'ov an informacn bezpecnosti s ef projektu ISMS { osoba poveren a rzenm vlastnho projektu ISMS role nen standardem v azan a na roli CEO nebo na CISO, ide alne je s ef projektu ISMS manazer schopn y vjemu do informacn bezpecnosti Nepominetulnou roli pro zajist'ov an obsahov e str anky informacn bezpecnosti m a CISO, ve spolupr aci s rdicm v yborem informacn bezpecnosti (m uze b yt jeho clenem) Role s efa informacn bezpecnosti, CISO Kam m a b yt role CISO v organizaci zarazen a? v mal ych organizacch m uze b yt role CISO sdruzen a s s efem IT ve velk ych organizacch (10 3 zamestnanc u) samostatn a role prmo podrzen a CEO (ide al) nebo jin emu oddelen (provozn, IT,... ) Pozadovan e znalosti CISO znalost pouh e generick e informacn bezpecnosti nestac mus zn at byznys procesy v organizaci (jejich rizika,... ) Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC

8 Co je pracovn n apln CISO V oblasti vyhov en legislativnm, regulacnm a smluvnm pozadavk um Vypracov av a seznam zainteresovan ych stran na informacn bezpecnosti Zamestnanci, majitel e rmy, st atn spr ava, regulacn instituce, krizov e sluzby (hasici, policie, z achranka,... ), klienti, media, dodavatel e, partneri,... Vypracov av a seznam pozadavk u zainteresovan ych stran na ITSec Udrzuje kontakt urady a speci alnmi z ajmov ymi skupinami Koordinuje vesker e cinnosti souvisejc s ochranou osobn dat V oblasti spr avy dokument u Vypracov av a draft vsech hlavnch dokument u souvisejcch s informacn bezpecnost (viz seznam pozadovan ych dokument u v yse) Odpovd a za oponov an a aktualizov an techto dokument u V oblasti rzen rizik Co je pracovn n apln CISO Uc zamestnance jak delat ohodnocov an rizik Koordinuje vsechny procesy ohodnocov an rizik Navrhuje v yber opatren Navrhuje casov e limity implementac opatren V oblasti personalistiky Overuje uchazece o zamestn an s hlediska informacn bezpecnosti Vypracov av a pl an skolen v oblasti informacn bezpecnosti Pr ubezne je cinn y v oblasti zvysov an bezpecnostnho uvedomen Zaskoluje nov e zamestnance Navrhuje disciplin arn rzen se zamestnanci narusujcmi informacn bezpecnost Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC Co je pracovn n apln CISO Ve vztahu s vrcholov ym managementem Objas nuje prnosy zajistenm informacn bezpecnosti Navrhuje bezpecnostn cle Pod av a zpr avu o meren ucinnosti opatren Navrhuje akce opravujc a vylepsujc opatren Navrhuje objem n aklad u a zdroj u potrebn ych na zajisten informacn bezpecnosti Sdeluje d ulezit e pozadavky zainteresovan ych stran na ITSec Upozor nuje na hlavn rizika Pod av a zpr avu o implementaci opatren Rad vrcholov emu managementu ve vsech bezpecnostnch probl emech V oblasti zlepsov an ISMS Co je pracovn n apln CISO Zarucuje, ze se provedou vsechny opravn e akce Overuje, zda opravn e akce nezp usob nesoulad, nekomfornost V oblasti spr avy aktiv Udrzuje evidenci vsech d ulezit ych informacnch aktiv Bezpecne likviduje d ale nepouziteln a m edia a zrzen V oblasti styku se tretmi stranami Ohodnocuje rizika outsourcovan ych aktivit Kontroluje vhodnost kandid at u na outsourcujc partnery Denuje polozky, kter e mus obsahovat smlouva s konkr etnm partnerem Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC

9 V oblasti komunikac Co je pracovn n apln CISO Denuje akceptovateln e a neakceptovateln e komunikacn kan aly Pripravuje komunikacn zarzen pouzit a pri katastrof ach V oblasti spr avy incident u Sbr a informace o bezpecnostnch incidentech Koordinuje reakce na bezpecnostn incidenty Pripravuje d ukazy pro soudn rzen po incidentu Analyzuje incidenty s clem prevence proti jejich opakov an V oblasti zachov an kontinuity cinnosti Koordinuje proces anal yzy dopad u katastrock ych incident u na byznys cinnosti a tvorby pl anu cinnosti po takov ych incidentech Koordinuje procvicov an zamestnanc u a testov an pl an u Po incidentu oponuje pl an obnovy Co je pracovn n apln CISO V oblasti technick e bezpecnosti Odsouhlasuje vhodn e metody pro ochranu v mobilnch zarzench, v stch a v komunikacnch kan alech Navrhuje metody autentizace, politiku hesel, metody sifrov an,... Denuje pozadovan e bezpecnostn vlastnosti internetovsk ych sluzeb Denuje principy bezpecn eho v yvoje informacnch syst em u Analyzuje z aznamy o cinnostech uzivatel u a odhaluje podezrel e chov an Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC Postup budov an ISMS { Uvodn kroky Uvodn kroky, dobr y zac atek { p ul je hotovo Ucelem ISMS je redukce a zvl ad an rizik souvisejcch s bezpecnost informac ta jsou pro lidi z oblasti podnikatelsk ych proces u vesmes nezn am a, je vhodn e proto hned v uvodu resen vypracovat a vydat Seznam aktu alnch relevantnch bezpecnostnch probl em u Pokud bude (certikacn) auditor pochybovat nebo bude nejist y, bude jiste hledat radu a objasnen ve standardu pokud m uze s ef projektu probl em objasnit odkazem na konkr etn text ve standardu, bude jeho pozice siln a To co standard nespecikuje, to jeste nemus b yt chybn e Standard vymezuje minim aln pozadavky, nikoli maxim aln pozadavky Zredukujte v zad an vse, co vypad a potencion alne slozit e, n arocn e na cas ci zdroje, obtzn e,... na to, o cem je kazd y presvedcen, ze je realizovateln e v r amci urcen eho casu a pridelen ych zdroj u projekt mus mt pridelen e dostatecn e ekonomick e a perzon aln zdroje na realizaci ISMS mus b yt dost casu i v prpade, ze se veci nebudou vyvjet dobre { mus existovat casov a rezerva kazd y zamestnanec mus zn at rizika vyzadujc zaveden ISMS a akceptovat opatren, kter a se pouzij pro jejich minimalizaci Vetsina lid nem a r ada zmeny, nerada pracuje s nezn amem ISMS prin as zmeny, a tudz neco (mnoho) nov eho do pracovnch zvyklost. :-(( je potreba poctat, ze alespo n hrstka lid bude projekt podkop avat Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC

10 Vymezen oblasti p usobnosti ISMS Vymezen hranic toho, co se pl anuje implementovat Pozadavek prmo dan y standardem Oblast vymezuje politika informacn bezpecnosti, kter a { mus b yt schv alena vyssm managementem { mus respektovat charakteristiky podnik an, organizace, lokality, aktiv, technologi { mus stanovit cle informacn bezpecnosti a strategii jejich dosazen { mus respektovat vsechny relevantn pozadavky podnik an, pr avn, smluvn,... bezpecnostn pozadavky { mus stanovit krit eria pro hodnocen rizik a strukturu proces u ohodnocen rizik oblast nemus nutne b yt cel a organizace { informace do oblasti vstupuje a oblast opoust pomoc urcen ych n astroj u { kontrolovane { v oblasti se mus nach azet upln a chr anen a informace vc. vsech souvisejcch technick ych i netechnick ych proces u Vymezen oblasti p usobnosti ISMS Denov an hranic oblasti hranice jsou fyzicky nebo logicky denovateln e v pojmech organizace ci jej c asti, kter a se m a chr anit (data, ste, geograck e lokace,... ) oblast mus b yt fyzicky/logicky vycleniteln a od tretch stran a od jin ych organizac p usobcch v r amci vets skupiny ISMS je rdic syt em jde o form aln strukturu zajist'ujc konzistentn prosazov an politiky informacn bezpecnosti v oblasti, za kterou je management odpovedn y Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC Role standardu ISO/IEC { certikace ISO/IEC { standard norm alu ISMS, o jehoz dosazen lze zskat certik at ISMS { prostred pro n avrh, implementaci, rzen, udrzby a systematick e a konzistentn prosazov an proces u a n astroj u zajist'ujcch informacn bezpecnost v cel e organizaci standard ISO/IEC respektuje n astroje denovan e standardem ISO/IEC ISO/IEC obsahuje seznam n astroj u dle ISO/IEC jako menu organizace prijmajc ISO/IEC si z menu potrebn e n astroje vybr a v yber mus vych azet z v ysledk u anal yzy rizik sk ala opatren m uze b yt adekv atne rozsrena v uci ISO/IEC Role standardu ISO/IEC { certikace certik at ISO 9000 rk a { my jsme organizace kvalitn e fungujc z hlediska proces u cinnosti (byznysu) certik at ISO rk a { my jsme organizace kvalitn e pecujc o bezpecnost inormac pomoc proces u clen ych na zajist en informacn bezpecnosti certikace je voliteln a, pokud si certikaci nevyz ad a legislativa Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC

11 Role standardu ISO/IEC { certikace existuje respektovan y model vz ajemn eho uzn av an certik at u Mus existovat n arodn akreditacn urad (NAU) u NAU se akredituje certikacn autorita (CA) CA provede audit ISMS typicky v krocch z ajemce o certik at v dotaznku CA popse sv e pozadavky uzavre se smlouva detailne popisujc pozadavky auditori absolvuj seznamovac interview auditori provedou anal yzu dokumentace auditori provedou anal yzu shody dokumentace s prostredm a provozovan ym ISMS prov ad se n asledn e audity Ex. generick a struktura ISMS Sablona ISMS vyhovujc standardu ISO/IEC obsahujc n azvy typick ych kapitol/podkapitol, nikoli jejich obsah, tj. nikoli predpisy/deklarace politik/opatren Co d elat pro usp esnost/prosp esnost auditu ISMS Dokumentace je upln a, pokr yv a cel y ISMS a je dostupn a auditor um Jsou dostupn e vsechny zpr avy z internch audit u a z proveden ych test u Vsichni zm estnanci mus b yt instruov an, ze v uci auditor um mus b yt maxim aln e otevren a vstrcn vc. ochotu k demonstracm cinnosti Auditor um je nutn e zprstupnit i oblast vyssho managementu { veden rmy Auditovan a strana mus b yt pripravena diskuse s auditory zastrasov an/dehonestace auditor u je cestou do pekel pomocnou ruku auditori vesmes hodnot pozitivne Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC Sch ema certikace (kvality, bezpecnosti,... ) v EU ex. iniciativa { org an EA, European co-operation for Accreditation ex. National Accreditation Body, NAB { n arodn instituce, u kter ych se akredituj posuzovatel e (ISMS) { Certification Bodies, CB, p usobc v dan e zemi ex. procedury, kter e mus NAB sdruzen e v EA pouzvat, aby byly certik aty (ISMS), vydan e,,jejich"cb, vz ajemne uznateln e Sch ema certikace (kvality, bezpecnosti,... ) v EU ex. dokument EA7/03 EA Guidelines for the Accreditation of bodies operating certication/ registration of Information Security Management Systems n avod pro NAB specikujc procesy certikace ISMS, kter e mus prokazatelne prov adet CB pri ohodnocov an ISMS proti standardu ISO/IEC 27001:2013 CB (periodicky) posuzuje ISMS z ajemce o certik at proti standardu ISO/IEC 27001:2013 na komercn b azi Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC

12 Schema certi kace (kvality, bezpe cnosti,... ) v EU/CR 2 P r klady certi kat u p r klady National Accreditation Body, NAB X United Kingdom Accreditation Service, UKAS, y institut pro akreditaci, o.p.s., CIA, X Cesk { Narodn akredita cn organ z r zeny vladou CR poskytuj c slu zby ve v sech oblastech akreditace jak statn m, tak privatn m subjektum. 2 p r klady Certification Bodies, CB X BSI Assessment Services Limited X Det Norske Veritas,... X CQS { Sdru zen pro certi kaci system u jakosti, { provad mj. i certi kace system u r zen informa cn bezpe cnosti dle BS 7799 c ast 2:2002; ISO/IEC 27001:2013 { c len mezinarodn ho sdru zen IQNet { s t' certi ka cn ch organ u pro certi kaci system u r zen Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC