Obsah. Příloha č. 2: Standardy a doporučení Verze:
|
|
- Františka Bártová
- před 5 lety
- Počet zobrazení:
Transkript
1 Příloha č. 2: Standardy a doporučení Verze: Obsah Obsah... 1 Právní předpisy... 2 Normy, které se týkají informační bezpečnosti... 3 Obecné zásady... 5 Doporučení pro řízení informační bezpečnosti ) Zavést řízení rizik jako součást řízení informační bezpečnosti ) Mít bezpečnostní politiku: ) Řídit informační bezpečnost ) Realizovat řízení aktiv ) Věnovat dostatečnou pozornost personální bezpečnosti ) Řešit fyzickou bezpečnost ) Řídit komunikace a provoz ) Řídit přístup k systémům ) Věnovat dostatečnou pozornost pořízení, vývoji a údržbě ) Řešit bezpečnostní incidenty a nedostatky ) Řídit správu kontinuity ) Zajistit soulad se standardy a právními normami... 9 Proces zavedení systému řízení informační bezpečnosti Další doporučení Hlavní procesy řízení životního cyklu bezpečnostní dokumentace Typy dokumentace Plány v rámci bezpečnosti IS... 13
2 Právní předpisy Mezi nejdůležitější právní předpisy České republiky se vztahem na informační bezpečnost patří: Ústavní zákon č. 23/1991 Sb., kterým se uvozuje Listina základních práv a svobod. Zákon č. 101/2000Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů. Zákon č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů. Zákon č. 140/1961 Sb., trestní zákon, ve znění pozdějších předpisů. Zákon č. 513/1991 Sb., obchodní zákoník, ve znění pozdějších předpisů. Zákon č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů. Zákon č. 337/1992 Sb., o správě daní a poplatků, ve znění pozdějších předpisů. Zákon č. 551/1991 Sb., o Všeobecné zdravotní pojišťovně České republiky, ve znění pozdějších předpisů. Zákon č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění pozdějšího předpisu. Zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích). Zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu), ve znění pozdějších předpisů. Zákon č. 480/2004 Sb., o některých službách informační společnosti. Usnesení vlády ČR č.624 ze dne 20. června 2001, o pravidlech, zásadách a způsobu zabezpečování kontroly užívání počítačových programů. Ústavní zákon č. 110/1998 Sb., o bezpečnosti ČR, ve znění pozdějšího předpisu. Zákon č. 148/1998 Sb., o ochraně utajovaných skutečností a o změně dalších zákonů, ve znění pozdějších předpisů. Vyhláška NBÚ č. 56/1999 Sb., o zajištění bezpečnosti informačních systémů nakládajících s utajovanými skutečnostmi, provádění jejich certifikace a náležitostech certifikátu. Zákon č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon), ve znění zákona 320/2002 Sb. Nařízení vlády 462/2000 Sb., k provedení 27 odst. 8 a 28 odst. 5 zákona č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon). Zákon č. 239/2000 Sb., o integrovaném záchranném systému a o změně některých zákonů, ve znění pozdějších předpisů. Zákon č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon). Zákon č. 89/1995 Sb., o státní statistické službě, ve znění pozdějších předpisů. Zákon ČNR č. 552/1991 Sb., o státní kontrole, ve znění kontrolního předpisu. Zákon č. 166/1993 Sb., o Nevyšším kontrolním úřadu, ve znění pozdějších předpisů. Strana 2 z
3 Usnesení vlády: Usnesení č. 2/1993 Sb., o vyhlášení Listiny základních práv a svobod jako součásti ústavního pořádku České republiky. Usnesení vlády ČR č. 271 ze dne 21. března 2001, k zabezpečení služeb komunikační infrastruktury informačních systémů veřejné správy (ISVS). Nejdůležitější legislativní předpisy Evropské unie pro oblast informační bezpečnosti jsou: Směrnice 1997/66/ES o ochraně dat v telekomunikacích. Směrnice 1995/46/ES o ochraně osobních dat. Směrnice 2002/58/ES o soukromí v elektronické komunikaci. Směrnice 1999/93/ES o zásadách Společenství pro elektronické podpisy. Směrnice 2002/58/ES o zpracování osobních údajů a ochraně soukromí. Nařízení 2001/45/ES o ochraně fyzických osob při zpracování osobních údajů orgány a institucemi. Směrnice rady 1991/250/EHS o právní ochraně počítačových programů. Směrnice rady 2001/264/EC o ochraně utajovaných informacích. Směry rozvoje Evropské unie jsou vytýčeny v tzv. akčních programech a plánech: Elektronická výměna dat mezi administrativami [členských zemí] (IDA). eeurope 2005: informační společnost pro všechny. Víceletý program podpory k prosazování informační společnosti v Evropě. Uživatelsky přívětivá informační společnost. Bezpečnější internet. Normy, které se týkají informační bezpečnosti V rámci řízení informační bezpečnosti jsou nejvýznamnější (všeobecně nejvíce podporované) tyto normy: ČSN ISO/IEC 17799:2001 Informační technologie Soubor postupů pro řízení informační bezpečnosti. ČSN BS :2004 Systém managementu bezpečnosti informací - Specifikace s návodem pro použití. (Pozn. tento původně Britský standard BS 7799 se stal nejuznávanější normou v oblasti řízení informační bezpečnosti vzhledem k jeho vysoké kvalitě a srozumitelnosti.) Výčet příruček vydaných Britský normalizačním institutem, které úzce navazují na BS 7799: PD 3001:2002 Příprava na certifikaci podle BS (Preparing for BS certification), PD 3002:2002 Přiručka BS 7799 pro hodnoceni rizik (Guide to BS 7799 Risk Assessment), PD 3003:2002 Příručka pro hodnoceni shody (Compliance assessment workbook), PD 3004:2002 Přiručka pro implementaci a audit opatřeni BS 7799 (Guide to the implementation and auditing of BS 7799 controls), PD 3005:2002 Příručka pro výběr opatřeni BS 7799 (Guide on the selection of BS 7799 controls). ČSN ISO/IEC TR :1999 Informační technologie - Směrnice pro řízení bezpečnosti IT - Část 1: Pojetí a modely bezpečnosti IT. ČSN ISO/IEC TR :2000 Informační technologie - Směrnice pro řízení bezpečnosti IT - Část 2: Řízení a plánování bezpečnosti IT. ČSN ISO/IEC TR :2000 Informační technologie - Směrnice pro řízení bezpečnosti IT - Část 3: Techniky pro řízení bezpečnosti IT. ČSN ISO/IEC TR :2002 Informační technologie - Směrnice pro řízení bezpečnosti IT - Část 4: Výběr ochranných opatření. ČSN ISO/IEC TR (zatím nevydáno) Informační technologie - Směrnice pro řízení bezpečnosti IT - Část 5: Ochranná opatření pro externí spojení. Další normy, které se týkají informační bezpečnosti: ČSN ISO/IEC :2001 Informační technologie - Bezpečnostní techniky - Kritéria pro hodnocení bezpečnosti IT Část 1: Úvod a všeobecný model. ČSN ISO/IEC :2002 Informační technologie - Bezpečnostní techniky - Kritéria pro hodnocení bezpečnosti IT Část 2: Bezpečnostní funkční požadavky. Strana 3 z
4 ČSN ISO/IEC :2002 Informační technologie - Bezpečnostní techniky - Kritéria pro hodnocení bezpečnosti IT Část 3: Požadavky na záruky bezpečnosti. ČSN ISO/IEC 15816:2003 Informační technologie - Bezpečnostní techniky - Bezpečnostní informační objekty pro řízení přístupu. ČSN ISO/IEC :2002 Softwarové inženýrství - Jakost produktu - Část 1: Model jakosti. ČSN ISO/IEC :2000 Informační technologie - Hodnocení softwarového produktu - Část 1: Všeobecný přehled. ČSN ISO/IEC :2002 Softwarové inženýrství - Hodnocení produktu - Část 2: Plánování a management. ČSN ISO/IEC :2001 Softwarové inženýrství - Hodnocení produktu - Část 3: Postup pro projektanty. ČSN ISO/IEC :2001 Softwarové inženýrství - Hodnocení produktu - Část 4: Postup pro akvizitéry. ČSN ISO/IEC :1999 Informační technologie - Hodnocení softwarového produktu - Část 5: Postup pro hodnotitele. ČSN ISO/IEC :2002 Softwarové inženýrství - Hodnocení produktu - Část 6: Dokumentace vyhodnocovacích modulů. ČSN ISO/IEC 12207:1997(tisková změna2003) Informační technologie - Procesy v životním cyklu software. ČSN ISO/IEC 12119:1996 Informační technologie - Softwarové balíky - Požadavky na jakost a zkoušení. ČSN ISO/IEC :2001 Informační technologie Slovník Část 8: Bezpečnost. ČSN ISO/IEC TR :2004 Informační technologie - Bezpečnostní techniky - Směrnice pro používání a řízení služeb důvěryhodných třetích stran. ČSN ISO/IEC 10736:1998 Informační technologie - Telekomunikace a výměna informací mezi systémy - Bezpečnostní protokol transportní vrstvy. ČSN ISO/IEC :1998 Informační technologie - Propojení otevřených systémů -Bezpečnostní struktury otevřených systémů: Přehled. ČSN SO/IEC :1998 Informační technologie - Propojení otevřených systémů - Bezpečnostní struktury otevřených systémů: Struktura autentizace. ČSN ISO/IEC :1998 Informační technologie - Propojení otevřených systémů - Bezpečnostní struktury otevřených systémů: Struktura řízení přístupu. ČSN ISO/IEC :1999 Informační technologie - Propojení otevřených systémů - Bezpečnostní struktury otevřených systémů: Struktura nepopiratelnosti. ČSN ISO/IEC :1999 Informační technologie - Propojení otevřených systémů - Bezpečnostní struktury otevřených systémů: Struktura důvěrnosti. ČSN ISO/IEC :1999 Informační technologie - Propojení otevřených systémů - Bezpečnostní struktury otevřených systémů: Struktura integrity. ČSN ISO/IEC :1999 Informační technologie - Propojení otevřených systémů - Bezpečnostní struktury otevřených systémů: Struktura bezpečnostního auditu a alarmů. ČSN ISO/ IEC 9797:1997 Informační technologie - Bezpečnost techniky - Mechanismus integrity dat používající kryptografickou kontrolní funkci s využitím algoritmu blokové šifry. ČSN ISO IEC :2001 Informační technologie - Bezpečnostní techniky - Kódy pro autentizaci zprávy (MAC) - Část 1: Mechanismy používající blokovou šifru. ČSN ISO/IEC :1997 Informační technologie - Bezpečnostní techniky - Mechanismy autentizace entit - 1.část: Obecný model. ČSN ISO/IEC :2000 Informační technologie - Bezpečnostní techniky - Autentizace entit - Část 2: Mechanismy používající symetrické šifrovací algoritmy. ČSN ISO/IEC :1997 Informační technologie - Bezpečnostní techniky - Mechanismy autentizace entit - Část 3: Autentizace entit používající algoritmus s veřejným klíčem. ČSN ISO/IEC :2001 Informační technologie - Bezpečnostní techniky - Autentizace entit - Část 4: Mechanismy používající kryptografickou kontrolní funkci. ČSN ISO/IEC :2001 Informační technologie - Bezpečnostní techniky - Autentizace entit - Část 5: Mechanismy používající techniku nulových znalostí. Strana 4 z
5 ČSN ISO/IEC :1998 Informační technologie - Bezpečnostní techniky - Správa klíčů - Část 1: Struktura. ČSN ISO/IEC :1999 Informační technologie - Bezpečnostní techniky - Správa klíčů - Část 2: Mechanismy používající symetrické techniky. ČSN ISO/IEC :2002 Informační technologie - Bezpečnostní techniky - Správa klíčů - Část 3: Mechanismy používající asymetrické techniky. ČSN ISO/IEC 15945:2004 Informační technologie - Bezpečnostní techniky - Specifikace služeb TTP na podporu aplikace digitálních podpisů. ČSN ISO/IEC :2001 Informační technologie - Bezpečnostní techniky - Nepopiratelnost - Část 1: Všeobecně. ČSN ISO/IEC :2001 Informační technologie - Bezpečnostní techniky - Nepopiratelnost - Část 2: Mechanismy používající symetrické techniky. ČSN ISO/IEC :2001 Informační technologie - Bezpečnostní techniky - Nepopiratelnost - Část 3: Mechanismy používající asymetrické techniky. ČSN EN ISO 19011:2003 Směrnice pro auditování systému managementu jakosti a/nebo systému environmentálního managementu. Obecné zásady Bezpečnostní cíle, bezpečnostní politika a všechny aktivity vyvíjené v oblasti informační bezpečnosti musí podporovat strategické cíle organizace. Řešení bezpečnosti musí být podporováno nejvyšším vedením organizace. Bezpečnost je komplexní a dynamická záležitost, je jedna a je nedělitelná. Procesy informační bezpečnosti jsou zaváděny s využitím modelu PDCA: Plánování zavedení - kontrola - využití. Bezpečnost je trvalý proces vzhledem k neustálým změnám. Bezpečnost se nedá zúžit pouze na informační systém (IS) nebo informační a komunikační technologie (ICT), musí se řešit všechny aspekty včetně organizačních procedur a chování jednotlivců. Bezpečnost musí pokrývat všechny její součásti, kterým musí být věnována stejná pozornost, aby se nestala některá část nejslabším, a tudíž nejnapadnutelnějším článkem. Bezpečnost se nedá zajistit na 100 %(vždy budou existovat zbytková rizika). Náklady vynaložené na bezpečnost musí být úměrné k hodnotě chráněných aktiv (respektive k míře rizika). Řešení informační bezpečnosti je vždy individuální a nelze ho přenést 1:1 z jiné (bytˇ velmi podobné) organizace, jelikož neexistují dvě navzájem identické organizace, které by byly v navzájem identickém bezpečnostním prostředí (liší se např.: lokalita, zaměstnanci, informační systém, procesy, použité technologie apod.). Každá organizace bude mít řešení informační bezpečnosti v jiném rozsahu včetně požadované dokumentace (jiný rozsah řešení bude v organizaci se 3 zaměstnanci, s účetnictvím na PC nepřipojeném do internetu a jiný ve firmě čítající zaměstnanců, s několika regionálními pracovišti a rozsáhlým informačním systémem). Strana 5 z
6 Doporučení pro řízení informační bezpečnosti Z důvodu zajištění dostatečné efektivity informační bezpečnosti se musí jednat o řízený proces vyvážený ve všech oblastech, který má podporu vedení a respektuje kulturu organizace. Každý uživatel informačního a komunikačního systému musí být seznámen s organizací a pravidly informační bezpečnosti (se směrnicemi), a aby pochopil účel bezpečnostních opatření, je potřebná soustavná osvěta a vzdělávání v oblasti informační bezpečnosti. Rozsah a struktura řízení informační bezpečnosti jsou závislé na řadě objektivních skutečností (velikost organizace, geografické umístění, rozsah a význam provozovaných informačních a komunikačních systémů, použité informační a komunikační technologie apod.). Toto je hlavní důvod, proč se aplikuje nejlepší praxe (normy, standardy a doporučení) pro zavedení informační bezpečnosti a nedá se použít univerzální šablonu. Obecně je třeba při budování informační bezpečnosti vycházet z analýzy výchozího stavu a z analýzy rizik. Doporučení pro řízení informační bezpečnosti vycházejí z norem ČSN ISO/IEC 17799:2005 a ČSN BS :2004 a jsou prosazována v dále uvedených 12 oblastech informační bezpečnosti. Zavedení procesů systému řízení informační bezpečnosti je popsáno v navazující části této přílohy. 1) Zavést řízení rizik jako součást řízení informační bezpečnosti Řízení rizik tvoří proces, který zahrnuje soustavný proces hodnocení rizik a jejich zvládání. Součástí procesu je identifikace hrozeb a z nich plynoucích rizik. Řízení rizik se musí stát nedílnou součástí celkového řízení informační bezpečnosti. To znamená, že rizika jsou monitorována a vyhodnocována, jsou navržena protiopatření na minimalizaci rizik a zbytková rizika jsou akceptovaná. 2) Mít bezpečnostní politiku: Bezpečnostní politika obsahuje cíl informační bezpečnosti a způsob jeho naplnění. Dále politika stručně uvádí návaznost budovaného systému řízení informační bezpečnosti na cíle organizace a regulatorní požadavky norem a legislativy. Důležitou součást politiky tvoří též určení základních odpovědností za budovaný systém řízení informační bezpečnosti a ustavení kritérií vůči kterým budou hodnocena rizika. Bezpečnostní politika pokrývá tyto oblasti informační bezpečnosti: a) Organizaci a řízení bezpečnosti; b) Řízení aktiv; c) Personální bezpečnost; Strana 6 z
7 d) Fyzickou bezpečnost a bezpečnost prostředí; e) Řízení komunikací a provozu; f) Řízení přístupu; g) Pořízení, vývoj a údržba informačních systémů; h) Správa incidentů informační bezpečnosti; i) Řízení kontinuity činností organizace; j) Soulad s požadavky. 3) Řídit informační bezpečnost Úkolem řízení informační bezpečnosti je zavést pravidla a postupy pro řízení informační bezpečnosti organizace. Pro řízení informační bezpečnosti v rámci organizace musí být jednoznačně popsána organizace řízení, odpovědnost za informační bezpečnost vedoucích pracovníků všech stupňů, odborných orgánů a rolí v systému informační bezpečnosti. Některé možné speciální role: Garant informačního systému - většinou vedoucí pracovník, v jehož působnosti je provozování konkrétního informačního systému, případně subsystému. Vlastník aktiva (informací) - pracovník spravující konkrétní informační a komunikační aktivum. Manažer informační bezpečnosti - vedoucí pracovník pro informační bezpečnost, jehož hlavním úkolem je organizovat, řídit a zajišťovat odborné úkoly informační bezpečnosti. Bezpečnostní správce informačního systému - odborný pracovník pro informační bezpečnost, jehož hlavním úkolem je výkon odborných činností spojených s informační bezpečností. Bezpečnostní koordinátor - vybraný uživatel informačního systému nebo pracovník správy informačního systému, který spolupracuje s bezpečnostním manažerem a s bezpečnostními správci při zavádění bezpečnostní politiky a bezpečnostních opatření (například u geograficky rozsáhlých informačních systémů). Správce systému informačních a komunikačních technologií - určený zaměstnanec, jehož úkolem je odborná správa, obsluha a údržba systémů informačních a komunikačních technologií. Uživatelé informačního systému - fyzická osoba, která má právo v předem definovaném rozsahu používat informační a komunikační systém organizace, zejména využívat a pořizovat informace v tomto informačním systému. Auditor informačních systémů - odborný pracovník pro provádění kontroly bezpečnosti informačních a komunikačních systémů, jehož hlavním úkolem je výkon činností spojených s nezávislou kontrolou správy informačního a komunikačního systému, bezpečnosti informačního a komunikačního systému a dodržování bezpečnosti uživateli. Pro dokumentaci se dají definovat tyto role: Schvalovatel - pracovník oprávněný schválit a vydat dokument. Gestor - pracovník odpovědný za zpracování, údržbu a věcnou správnost vlastník dokumentu. Zpracovatel - pracovník odpovědný za zpracování návrhu a za provedení připomínkového řízení. Oponent - pracovník určený k účasti na připomínkovém řízení. Adresát - pracovník, kterému je dokument určen a který je povinen respektovat jeho obsah. Správce - pracovník odpovědný za evidenci a distribuci dokumentu v písemné i elektronické formě. 4) Realizovat řízení aktiv Úkolem řízení aktiv je určit způsob identifikace, realizovat identifikaci a ohodnocení aktiv organizace. Aby mohla být důsledně zajištěna ochrana aktiv, měl by být veden registr aktiv informačního a komunikačního systému, který je důležitý i z hlediska řízení rizik. Pro každé významné aktivum by měl být stanoven vlastník tohoto aktiva, který je odpovědný za stanovení přiměřených opatření na ochranu tohoto aktiva v souladu s vydanými pravidly v rámci organizace. 5) Věnovat dostatečnou pozornost personální bezpečnosti Úkolem personální bezpečnosti je určit a zavést bezpečnostní pravidla a postupy pro oblast řízení lidských zdrojů. Lidé a jejich konání představují velkou hrozbu pro informační bezpečnost, ať ve formě prostých lidských chyb, nebo úmyslného jednání. Řešení personální bezpečnosti má snížit rizika Strana 7 z
8 spojená s lidským jednáním a měla by být zahrnuta v celém procesu řízení lidských zdrojů od přijímacího řízení po celou dobu trvání pracovního poměru i po jeho ukončení. 6) Řešit fyzickou bezpečnost Účelem je fyzická ochrana aktiv. Je účelné zavést bezpečnostní zóny (perimetry), popsat opatření a chování, která jsou v těchto zónách uplatňována (tzv. režimové směrnice).dále je potřebné řešit bezpečnost jednotlivých zařízení a prostředků v celém životním cyklu (pořízení likvidace) jak v rámci objektu, tak i mimo (např. přenosná výpočetní technika a média). 7) Řídit komunikace a provoz Úkolem řízení komunikace a provozu je definovat základní rámec bezpečného řízení komunikace a provozu. Bezpečný provoz a komunikace informačních a komunikačních technologií by měly být popsány v provozní a operativní dokumentaci: Provozní postupy; Postupy pro řešení bezpečnostních incidentů; Provozní a technické deníky; Karty zařízení; Kniha bezpečnostních incidentů a nedostatků. Změny prováděné v prostředcích pro zpracování informací musí podléhat řízenému procesu. Měl by se respektovat princip oddělení povinností a oddělení vývoje od provozu. Vhodným způsobem zavedené provozní a technické deníky slouží jako podklad pro plánování obnovy a výpočetní kapacity pro nové informační a komunikační systémy. Do provozní bezpečnosti patří i ochrana proti škodlivým programům, správa integrity, dostupnosti, správa komunikačních sítí, nakládání s nosiči informací (médii) a výměna (přenos) informací. 8) Řídit přístup k systémům Účelem tohoto procesu, zahrnujícím všechny fáze životního cyklu přístupu uživatele (registrace - změna - zrušení), je zabránit neoprávněnému přístupu k informačnímu a komunikačnímu systému (respektive systémům). Přístup k informacím musí být jasně stanoven pro každého uživatele na základě jeho pracovních povinností (na základě role, kterou má v informačním systému) podle pravidel a provozních požadavků (pravidlo potřeba znát ). Zvýšenou pozornost je nutné věnovat tzv. privilegovaným uživatelům, správě hesel a kontrole přístupových práv, přístupu k síťovým prostředkům, operačním a aplikačním systémům, přenosné výpočetní technice a soustavnému monitorování celého systému. Každý uživatel musí znát své povinnosti a odpovědnosti spojené s přístupem k informačním a komunikačním systémům. 9) Věnovat dostatečnou pozornost pořízení, vývoji a údržbě Úkolem při pořízení, vývoji a údržbě informačních systémů je řízení životního cyklu prostředků a systémů pro zpracování informací organizace v souladu s jejími bezpečnostními požadavky a potřebami. Při vývoji a údržbě infrastruktury a aplikačního vybavení musí být bezpečnost zahrnuta již ve fázi specifikace požadavků. Pozornost musí být věnována kryptografickým opatřením, systémovým souborům, procesům vývoje a údržby. 10) Řešit bezpečnostní incidenty a nedostatky Úkolem správy incidentů informační bezpečnosti je zajistit, aby události související s informační bezpečností a slabiny související s informačními systémy byly komunikovány způsobem, který umožní včasnou nápravu. Zjištěné bezpečnostní incidenty a nedostatky musí být dokumentovány a vyšetřeny s ohledem na příčiny, které je vyvolaly, aby mohlo být dosaženo nápravy. 11) Řídit správu kontinuity Úkolem řízení kontinuity činností organizace je bránit přerušení činnosti organizace a chránit organizaci před následky závažných chyb a katastrof nebo tyto následky minimalizovat. Řízení Strana 8 z
9 kontinuity tvoří systém opatření zaměřených na přípravu adekvátní reakce v případě ohrožení zásadních činností organizace. Řízení kontinuity zahrnuje systém dokumentace, testování, revizí a distribuce navržených opatření spolu s přidělením odpovídajících pravomocí. Pro zajištění kontinuity (minimalizaci výpadků) hlavních činností organizace je nutné zavést řízený proces vytvořením plánů postupů, jejich údržby, tyto plány pravidelně testovat a na základě výsledků testů plány aktualizovat (přehodnocovat). 12) Zajistit soulad se standardy a právními normami Úkolem zajištění souladu s právními a regulatorními požadavky je vyvarovat se porušení norem trestního, obchodního nebo občanského práva, zákonných nebo smluvních povinností a bezpečnostních požadavků při zavádění bezpečnostních a technologických opatření v rámci organizace. Je nutné zajistit soulad s legislativními předpisy (zákonné a podzákonné normy) a ostatními závaznými dokumenty, čehož docílíme jejich zdokumentováním a provedením analýzy požadavků z nich vyplývajících. Strana 9 z
10 Proces zavedení systému řízení informační bezpečnosti Systém řízení informační bezpečnosti je budován a řízen v souladu s normou ČSN BS : Systém managementu bezpečnosti informací - specifikace s návodem pro použiti. Systém řízení informační bezpečnosti tvoří součást řídících činností organizace a jeho hlavním cílem je eliminovat nebo snížit rizika související s možným narušením integrity, dostupnosti a důvěrnosti informací organizace. Zavedeni ISMS (Information Security Management Systém) v souladu s normou BS :2002 je prováděno dle modelu PDCA (Plan - Do - Check - Act), který rozděluje celý proces řízení do čtyř kroků tvořících uzavřený cyklus řízení: - První krok plánování; - Druhý krok zavedení; - Třetí krok kontrola; - Čtvrtý krok - využití. První krok - plánování Plánování tvoří základ budování systému řízení informační bezpečnosti. Tento krok zahrnuje ustavení bezpečnostní politiky, plánů, cílů, procesů a postupů souvisejících s řízením rizik a zlepšováním informační bezpečnosti tak, aby poskytovaly výsledky v souladu s cíly organizace. Cílem je nastavit parametry budovaného ISMS v definovaném rozsahu na základě provedeného hodnocení rizik. V rámci plánování se provádějí následující činnosti: - Definování rozsahu systému řízení informační bezpečnosti; - Definování bezpečnostní politiky; - Identifikace a ohodnocení rizik; - Identifikace a ohodnocení aktiv; - Identifikace a ohodnocení hrozeb a zranitelností; Strana 10 z
11 - Ohodnocení existujících rizik; - Výběr cílů opatření a jednotlivých opatření (kontrol) pro pokrytí rizik; - Příprava Prohlášení o aplikovatelnosti. Druhý krok - zavedení V rámci zavedení systému řízení informační bezpečnosti jsou zavedena vybraná opatření informační bezpečnosti do praxe. Opatření jsou popsána a jsou s nimi seznámeni zaměstnanci organizace. Nedílnou součástí tohoto kroku je vytvoření systému detekce a reakce na bezpečnostní incidenty, které mohou ohrozit informace. Cílem je zavést, zdokumentovat a řídit vybraná bezpečnostní opatření (kontroly) a seznámit s nimi zaměstnance. V rámci zavedení se provádějí následující činnosti: - Zformulování a zavedení plánu zvládání rizik; - Zavedení opatření (kontrol) v souladu s potřebami organizace; - Zavedení programu zvyšování bezpečnostního povědomí; - Řízení dostupných zdrojů; - Řízení provozu - zavedení postupů pro správu dokumentů a záznamů; - Zavedení postupů pro včasnou detekci bezpečnostních incidentů a rychlou reakci. Třetí krok - kontrola Kontrola systému řízení informační bezpečnosti zajišťuje detekci chyb, identifikaci bezpečnostních incidentů a poskytuje podklady pro hodnocení účinnosti a efektivity provozovaného systému řízení informační bezpečnosti. K tomuto účelu se zavádí systém kontrolní činnosti a interních auditů informační bezpečnosti. Systém kontrolní činnosti posuzuje pokrytí zjištěních rizik bezpečnostními postupy a pravidly zavedenými v rámci organizace. Systém interního auditu informační bezpečnosti je zahrnut do systému interních auditů organizace. Cílem je zajistit správnost návrhu systému řízení informační bezpečnosti a efektivní pokrytí zjištěných rizik opatřeními. V rámci zavedení se provádějí následující činnosti: - Detekování bezpečnostních incidentů a sledování účinnosti opatření informační bezpečnosti; - Pravidelné posuzování účinnosti opatření informační bezpečnosti; - Pravidelná revize zbytkových a akceptovaných rizik; - Provádění pravidelných interních auditů informační bezpečnosti; - Pravidelné přehodnocení systému řízení informační bezpečnosti na úrovni vedení organizace; - Registrování událostí s dopadem na účinnost a efektivnost opatření informační bezpečnosti. Čtvrtý krok - využití Využití systému řízení informační bezpečnosti uzavírá cyklus zavedení, provozu a údržby ISMS. V rámci tohoto kroku se provádí, na základě provedených kontrol a auditů, nápravné a preventivní činnosti v procesech informační bezpečnosti a zavádějí se identifikované možnosti vylepšení systému řízení informační bezpečnosti. Cílem je odstranit zjištěný nesoulad v systému řízení informační bezpečnosti, zavést efektivnější postupy a dále zlepšovat zavedený systém. V rámci zavedení se provádějí následující činnosti: - Implementace zjištěných možností optimalizace systému řízení informační bezpečnosti; - Přijímání vhodných nápravných a preventivních opatření; - Projednání výsledků se všemi zainteresovanými stranami; - Kontrola, zda aplikováním zlepšení bylo dosaženo plánovaných cílů. Zavedení systému řízení informační bezpečnosti znamená že: a) jednotlivé oblasti jsou popsány v bezpečnostní politice, b) jednotlivé oblasti jsou popsány jako procesy, c) procesy jsou zavedeny, d) procesy jsou testovány, e) jednotlivé procesy tvoří integrální součást řízení. Strana 11 z
12 Další doporučení Oddělit řízení informační bezpečnosti od řízení informačních a komunikačních technologií z důvodu střetu zájmů a spojit řízení informační bezpečnosti například s řízením fyzické bezpečnosti. Zamezit kumulaci neslučitelných rolí, například správy informačního systému a kontroly. Oddělit vývoj, provoz, bezpečnost a kontrolu informačního a komunikačního systému. Zavést pravidla kontroly ( čtyř očí ) u významných činností, aby tyto činnosti nebyly vykonávány jedním pracovníkem. Hlavní procesy řízení životního cyklu bezpečnostní dokumentace Musí existovat ucelená soustava bezpečnostní dokumentace, která pokrývá celý životní cyklus informačního a komunikačního systému organizace a všechna jeho aktiva. Aby tato soustava splňovala požadavky na systém, který je možné řídit, musí být: zajištěna jednoznačná identifikace každého dokumentu, jednotně vedená evidence této dokumentace, vymezeny role v systému řízení, jejich působnost a odpovědnost, definovány procesy řízení životního cyklu této dokumentace. Důvody pro vedení řádné dokumentace: Čím kvalitnější je dokumentace, tím je kvalitnější podklad pro rozhodování a řízení. Bez popisu procesů nelze kvalitně provést jakoukoli změnu. Činnost, která je zdokumentována (popsána), příště trvá kratší dobu (opakuje se), je provedena kvalitněji, a není tak náročná na kvalifikaci pracovníka. Ochrana investic (nemoc, dovolená, odchod ze zaměstnání atd.) zajištěním zastupitelnosti. Pro úspěšný audit je řádně vedená dokumentace základním předpokladem. Bezpečnostní dokumentace obsahuje ve většině případů citlivé informace, proto musí být jejímu ukládání, uchovávání a distribuci věnována náležitá pozornost. Tvorba, Evidence, Distribuce, Prověrka aktuálnosti. Tvorba Evidence Aktualizace 4 hlavní procesy Prověrka aktuálnosti Distribuce Typy dokumentace Aby mohlo být řízení v organizaci efektivně vykonáváno, jsou obecně uváděny tři charakteristické třídy (stupně) dokumentace: 1. závazné předpisy (vnější obecně závazné a vnitřní představující vůli managementu), 2. standardy (normy) (jsou také vnější a vnitřní; na rozdíl od předpisů nejsou primárně závazné, ale mohou se závaznými stát například odkazem ze závazného předpisu), 3. záznamy (dokumentují soulad systému řízení s předpisy a standardy). Příklady typů dokumentů: Strana 12 z
13 Vnitřní normy informační bezpečnosti: Celková bezpečnostní politika Bezpečnostní politika informačních systémů (IS/ICT) Metodické pokyny pro uživatele Metodické pokyny pro správu uživatelů a řízení přístupu Metodické pokyny pro vlastníky informací Metodické pokyny pro havarijní plánování Metodické pokyny pro aplikaci bezpečnostních hledisek ve smlouvách Zásady řízení rozvoje a změn informačních a komunikačních systémů (projektová dokumentace) Systémová bezpečnostní politika (pro jednotlivé klíčové IS subsystémy ) Bezpečnostní příručka pro bezpečnostní správce Bezpečnostní příručka pro systémové správce Bezpečnostní příručka pro uživatele Provozní bezpečnostní dokumentace: Režimové směrnice pro bezpečnostní zónu Směrnice pro ostrahu objektu Směrnice pro nakládání s incidenty Havarijní plán Plán zálohování a obnovy Školicí a učební texty Operativní bezpečnostní dokumentace (záznamy): Přidělení/změna přístupových práv Kniha bezpečnostních incidentů Registr informačních a komunikačních aktiv Provozní deník Karta zařízení Plány v rámci bezpečnosti IS V rámci bezpečnosti by měly být vytvořeny následující plány: Plán zvládání rizik Plán zvládání rizik popisuje plán a postup redukce zjištěných rizik na potřebnou úroveň. Obsahuje popis způsobu realizace jednotlivých opatření a bezpečnostních projektů vedoucích k dosažení cílových stavů definovaných v bezpečnostní politice. Ke každému projektu, opatření jsou definovány minimálně následující atributy: kritičnost, doba realizace, odpovědnost, předpokládané náklady, výstup a případné následné kroky Plán zachování kontinuity (hlavních činností) Jedná se o plán, který má zajistit funkceschopnost hlavních činností (například bez podpory informačních a komunikačních technologií). Plán zálohování a obnovy Plán popisující procesy běžného provozního zálohování (dat, programů a nastavení) včetně popisu obnovy z této zálohy (například návratové procedury po chybné implementaci servisní opravy operačního systému). Havarijní plán (pro jednotlivé IS) + mapa všech havarijních plánů Plány, které řeší různé typy havárií jednotlivých IS. Celková mapa těchto plánů je důležitá pro stanovení, které části informačního a komunikačního systému je nezbytné zprovoznit jako první, jelikož mají vliv na ostatní (například aby bylo možné používat elektronickou poštu, musí být nejprve zprovozněno připojení na internet, potom lokální síť, všechny potřebné síťové služby a potom má smysl se zabývat poštovním serverem a koncovým uživatelským programem). Tato mapa rovněž stanovuje priority pro postupnou obnovu IS jako celku. Plán testování havarijních plánů Havarijní plány je nutné pravidelně testovat a na základě výsledků testů tyto plány přehodnocovat. Strana 13 z
14 Plán bezpečnostní výchovy a školení Aby vzdělávání bylo prováděno systematicky doporučuje se sestavit plán výchovy a školení informační bezpečnosti (pro jednotlivé role v IS). Plán auditů IS Do plánů mají být zahrnuty různé typy kontrol například běžné provozní kontroly, interní a externí audity a penetrační testy. Strana 14 z
ČSN ISO/IEC 27001 P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001
ČSN ISO/IEC 27001 Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky Představení normy ISO/IEC 27001 a norem souvisejících - Současný stav ISO/IEC 27001:2005
VíceČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti
ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti Ing. Daniel Kardoš, Ph.D 4.11.2014 ČSN ISO/IEC 27001:2006 ČSN ISO/IEC 27001:2014 Poznámka 0 Úvod 1 Předmět normy 2 Normativní odkazy 3 Termíny
VíceNávrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB
Návrh vyhlášky k zákonu o kybernetické bezpečnosti Přemysl Pazderka NCKB Východiska ISO/IEC 27001:2005 Systémy řízení bezpečnosti informací Požadavky ISO/IEC 27002:2005 Soubor postupů pro management bezpečnosti
VíceČESKÁ TECHNICKÁ NORMA
ČESKÁ TECHNICKÁ NORMA ICS 35.020; 35.040 2008 Systém managementu bezpečnosti informací - Směrnice pro management rizik bezpečnosti informací ČSN 36 9790 Červen idt BS 7799-3:2006 Information Security Management
VíceCertifikace systému managementu bezpečnosti informací dle ISO/IEC 27001
Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001 Hradec Králové duben 2009 2009-03 Informace versus Bezpečnost informací Informace (aktivum) - vše, co má hodnotu pro organizaci Bezpečnost
VíceBEZPEČNOSTNÍ POLITIKA INFORMACÍ
BEZPEČNOSTNÍ POLITIKA INFORMACÍ společnosti ČEZ Energetické služby, s.r.o. Stránka 1 z 8 Obsah: 1. Úvodní ustanovení... 3 2. Cíle a zásady bezpečnosti informací... 3 3. Organizace bezpečnosti... 4 4. Klasifikace
VíceFyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.
Fyzická bezpečnost, organizační opatření RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost,
VíceNávrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.
Návrh zákona o kybernetické bezpečnosti Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.cz Předmět úpravy VKB Obsah a strukturu bezpečnostní dokumentace
VíceISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok
ISO 9000, 20000, 27000 Informační management VIKMA07 Mgr. Jan Matula, PhD. jan.matula@fpf.slu.cz III. blok ITSM & Security management standard ISO 9000-1 ISO 9000:2015 Quality management systems Fundamentals
Vícesrpen 2008 Ing. Jan Káda
nauka o srpen 2008 Ing. Jan Káda ČSN ISO/IEC 27001:2006 (1) aktivum cokoliv, co má pro organizaci hodnotu důvěrnost zajištění, že informace jsou přístupné pouze těm, kteří jsou k přístupu oprávněni integrita
VícePolitika bezpečnosti informací
ORGANIZAČNÍ SMĚRNICE Název: Politika bezpečnosti informací Číslo dokumentu: OS4402 Vydání č.: 06 Výtisk č.: 01 Platnost od: 15.04.2016 Účinnost od: 29.04.2016 Platnost do: Zpracoval: Ing. Vladimír Fikejs
VíceStandardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha
Standardy/praktiky pro řízení služeb informační bezpečnosti Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha Služby informační bezpečnosti Nemožnost oddělit informační bezpečnost od IT služeb
VíceZákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@email.cz, 603 248 295
Zákon o kybernetické bezpečnosti základní přehled Luděk Novák ludekn@email.cz, 603 248 295 Obsah Zákon č. 181/2014 Sb., o kybernetické bezpečnosti Vyhláška č. 316/2014 Sb., vyhláška o kybernetické bezpečnosti
VíceISMS. Bezpečnostní projekt. V Brně dne 10. října 2013
ISMS Zavádění a provozování ISMS Bezpečnostní projekt V Brně dne 10. října 2013 Co je to bezpečnost informací Systematické ti úsilí (proces), jehož účelem je trvalé zlepšování ochrany cenných informací
VíceMANAGEMENT KYBERNETICKÉ BEZPEČNOSTI
MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI TÉMA Č. 4 ISO NORMY RODINY 27K pplk. Ing. Petr HRŮZA, Ph.D. Univerzita obrany, Fakulta ekonomiky a managementu Katedra vojenského managementu a taktiky E-mail.: petr.hruza@unob.cz
VíceWS PŘÍKLADY DOBRÉ PRAXE
WS PŘÍKLADY DOBRÉ PRAXE ISO 9001 revize normy a její dopady na veřejnou správu Ing. Pavel Charvát, člen Rady pro akreditaci Českého institutu pro akreditaci 22.9.2016 1 ISO 9001 revize normy a její dopady
VíceZákon o kybernetické bezpečnosti
Zákon o kybernetické bezpečnosti Ing. Ondřej Ševeček GOPAS a.s. MCSM:Directory2012 MCM:Directory2008 MVP:Enterprise Security CEH: Certified Ethical Hacker CHFI: Computer Hacking Forensic Investigator CISA
VíceŘízení informační bezpečnosti a veřejná správa
Řízení informační bezpečnosti a veřejná správa Kladno 1.prosince 2008 Doc.RNDr. Milan BERKA, CSc. Systém řízení informační bezpečnosti Různé certifikace bezpečnosti a jejich význam NBÚ, ISO, Objekty a
VíceBezpečnostní politika společnosti synlab czech s.r.o.
Bezpečnostní politika společnosti synlab czech s.r.o. Platnost dokumentu: 14. ledna 2015 Datum vypracování: 8. ledna 2015 Datum schválení: 13. ledna 2015 Vypracoval: Schválil: Bc. Adéla Wosková, Ing. Jaroslav
VícePelantová Věra Technická univerzita v Liberci. Předmět RJS. TU v Liberci
Tento materiál vznikl jako součást projektu, který je spolufinancován Evropským sociálním fondem a státním rozpočtem ČR. Řízení kvality Pelantová Věra Technická univerzita v Liberci Předmět RJS Technická
VíceBusiness Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.
Business Continuity Management jako jeden z nástrojů zvládání rizik Ing. Martin Tobolka AEC, spol. s r.o. Co je BCM? Mezi časté příčiny přerušení kontinuity činností patří technická selhání (energie, HW,
Víceehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti
Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti ehealth Day 2016 16.2.2016 Ing. Stanislav Bíža, Senior IT Architekt, CISA stanislav.biza@cz.ibm.com 12016 IBM Corporation Požadavky
VíceGradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI
Gradua-CEGOS, s.r.o. člen skupiny Cegos Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER BOZP
VíceEMS - Systém environmentálního managementu. Jiří Vavřínek CENIA
EMS - Systém environmentálního managementu Jiří Vavřínek CENIA Osnova Použití normy a přínosy Demingůvcyklus (PDCA) Hlavní principy a prvky EMS / ISO 14001 Zainteresované strany Požadavky na management/ekology
VícePříklad I.vrstvy integrované dokumentace
Příklad I.vrstvy integrované dokumentace...víte co. Víme jak! Jak lze charakterizovat integrovaný systém managementu (ISM)? Integrovaný systém managementu (nebo systém integrovaného managementu) je pojem,
VíceSystém řízení informační bezpečnosti (ISMS)
Systém řízení informační bezpečností (ISMS) RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost,
VíceBezpečnostní politika a dokumentace
Bezpečnostní politika a dokumentace Ing. Dominik Marek Kraj Vysočina Kraj Vysočina správce VIS dle zákona č. 181/2014 o kybernetické bezpečnosti VIS (zatím) Webový portál (Webové stránky kraje) Elektronický
VíceBEZPEČNOSTNÍ POLITIKA PRO BEZPEČNOST INFORMACÍ V ORGANIZACI
BEZPEČNOSTNÍ POLITIKA PRO BEZPEČNOST INFORMACÍ V ORGANIZACI Název organizace Identifikační číslo 60153351 Sídlo organizace Datum zpracování 18. 5. 2018 Platnost a účinnost 25. 5. 2015 ZÁKLADNÍ ŠKOLA A
VíceŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi 2011 6. října 2011 r
ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI Ing. Jiřina Petříková Informační technologie pro praxi 2011 6. října 2011 r Bezpečnost informací Zvyšuje se cena informací v oblasti soukromého podnikání i státní
VíceSystém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005
Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005 Praha květen 2008 2008-03 - Bezpečnost informací jsou aktiva, která mají pro organizaci hodnotu. mohou existovat v různých podobách
VíceAUDITOR EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.9/2007
Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 AUDITOR EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ
VíceMANAŽER SM BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.10/2007
Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER SM PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ
VíceOrganizační opatření, řízení přístupu k informacím
Organizační opatření, řízení přístupu RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost,
VíceMANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007
Gradua-CEGOS, s.r.o., Certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ
VíceCYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe
CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe Ing. Aleš Špidla Ředitel odboru bezpečnostní politiky MPSV Člen rady Českého institutu manažerů informační bezpečnosti Ales.spidla@mpsv.cz,
Více1. KURZ č. 1 - QMS - Školení a výklad normy ČSN EN ISO 9001:2001. 2. KURZ č. 2 - QMS - Školení interních auditorů QMS a metrologa
Návrh školících modulů pro projekt dotací ESF Tématika norem: - ČSN EN ISO 9001: 2001 Systémy managementu jakosti - Požadavky; - ČSN ISO/IEC 27001:2006 Informační technologie - Bezpečnostní techniky -
VíceSystém kvality ve společnosti STAVITELSTVÍ KAREL VÁCHA A SYN s.r.o.
Systém kvality ve společnosti STAVITELSTVÍ KAREL VÁCHA A SYN s.r.o. Stavba : KAPITANÁT REALIZACE STAVBY PROVOZNÍ INFRASTRUKTURY SPORTOVNÍHO PŘÍSTAVU HLUBOKÁ NAD VLTAVOU 1. Organizace uplatňuje integrovaný
VíceBezpečnostní aspekty informačních a komunikačních systémů KS2
VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní aspekty informačních a komunikačních systémů KS2 VŠFS; Aplikovaná informatika; SW systémy
VíceZdravotnické laboratoře. MUDr. Marcela Šimečková
Zdravotnické laboratoře MUDr. Marcela Šimečková Český institut pro akreditaci o.p.s. 14.2.2006 Obsah sdělení Zásady uvedené v ISO/TR 22869- připravené technickou komisí ISO/TC 212 Procesní uspořádání normy
Více1. Politika integrovaného systému řízení
1. Politika integrovaného systému řízení V rámci svého integrovaného systému řízení (IMS) deklaruje společnost AARON GROUP spol. s r.o. jednotný způsob vedení a řízení organizace, který splňuje požadavky
VíceImplementace systému ISMS
Implementace systému ISMS Krok 1 Stanovení rozsahu a hranic ISMS Rozsah ISMS Krok 2 Definice politiky ISMS Politika ISMS Krok 3 Definice přístupu k hodnocení rizik Dokumentovaný přístup k hodnocení rizik
VíceGradua-CEGOS, s.r.o. AUDITOR BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI. CS systémy managementu organizací verze 2, 8.2, b) 1.
Gradua-CEGOS, s.r.o. Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 AUDITOR BOZP PŘEHLED POŽADOVANÝCH
VíceMANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.8/2007
Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ
VíceBezepečnost IS v organizaci
Bezepečnost IS v organizaci analýza rizik Zabezpečení informačního systému je nutné provést tímto postupem: Zjistit zranitelná místa, hlavně to, jak se dají využít a kdo toho může zneužít a pravděpodobnost
VíceAudit ICT. KATALOG služeb. Ing. Jiří Štěrba
KATALOG služeb Ing. Jiří Štěrba Obsah Úvod 3 Služby 4 Zaměření 5 Nabídka 7 Poptávka 8 Ke stažení 9 Reference 10 Informace 11 Kontakty 12 2 Úvod Dovolte, abychom Vám poskytli informace, které jsou věnovány
VíceSMĚRNICE DĚKANA Č. 4/2013
Vysoké učení technické v Brně Datum vydání: 11. 10. 2013 Čj.: 076/17900/2013/Sd Za věcnou stránku odpovídá: Hlavní metodik kvality Za oblast právní odpovídá: --- Závaznost: Fakulta podnikatelská (FP) Vydává:
VíceDŮVODOVÁ ZPRÁVA. Jednání Zastupitelstva městské části Praha Zbraslav. číslo: 20 Dne: Zpracovatel: OKT
Městská část Praha Zbraslav Zbraslavské náměstí 464 156 00 Praha Zbraslav tel/fax: +420 257 111 888 e- mail: info@mc-zbraslav.cz http: www.mc-zbraslav.cz DŮVODOVÁ ZPRÁVA Jednání Zastupitelstva městské
VíceABC s.r.o. Výtisk číslo: PŘÍRUČKA ENVIRONMENTU. Zpracoval: Ověřil: Schválil: Č.revize: Počet příloh: Účinnost od:
ABC s.r.o. PŘÍRUČKA EMS Výtisk číslo: Zpracoval: Ověřil: Schválil: Tento dokument je duševním vlastnictvím společnosti ABC s.r.o. Rozmnožování a předávání třetí straně bez souhlasu jejího jednatele není
VíceZáklady řízení bezpečnosti
Základy řízení bezpečnosti Bezpečnost ve společnosti MND a.s. zahrnuje: - Bezpečnost a ochranu zdraví - Bezpečnost provozu, činností - Ochranu životního prostředí - Ochranu majetku - Ochranu dobrého jména
VíceZ P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P
Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P R O S T Ř E D Í ZoKB a cloudové služby Je možné zajistit
VíceBezpečnost na internetu. přednáška
Bezpečnost na internetu přednáška Autorské právo a bezpečnost na internetu Bezpečnost informačního systému školy Ing. Ludmila Kunderová Ústav informatiky PEF MENDELU v Brně lidak@pef.mendelu.cz internetu
VíceStrategický dokument se v současné době tvoří.
Karta projektového okruhu Číslo a název projektového okruhu: Garant karty projektového okruhu: Spolupracující subjekty: 3.9 Elektronizace odvětví: ejustice Ministerstvo spravedlnosti Ministerstvo vnitra
VícePlatná od Bezpečnostní politika. Deklarace
Platná od 1. 5. 2016 Bezpečnostní politika Deklarace 2 Swiss Life Select Bezpečnostní politika Deklarace 1. Předmět a účel Předmětem této Bezpečnostní politiky je definovat celkový rámec a pravidla pro
VíceKybernetická bezpečnost resortu MV
Kybernetická bezpečnost resortu MV Ing. Miroslav Tůma Ph. D. odbor kybernetické bezpečnosti a koordinace ICT miroslav.tuma@mvcr.cz Agenda 1. Pokyn MV - ustanovení Výboru pro řízení kybernetické bezpečnosti
VíceV Brně dne 10. a
Analýza rizik V Brně dne 10. a 17.10.2013 Ohodnocení aktiv 1. identifikace aktiv včetně jeho vlastníka 2. nástroje k ohodnocení aktiv SW prostředky k hodnocení aktiv (např. CRAMM metodika CCTA Risk Analysis
VíceManagement bezpečnosti informací dle ISO 27001:2006. Zkušenosti se zaváděním ve společnosti SYSCOM SOFTWARE s.r.o.
Management bezpečnosti informací dle ISO 27001:2006 Zkušenosti se zaváděním ve společnosti SYSCOM SOFTWARE s.r.o. ENVIRO 15.4.2010 Ing. Jaroslav Březina 1 O autorovi Ing. Jaroslav Březina Pracuje ve společnosti
VícePříručka jakosti a environmentu
Příručka jakosti a environmentu Datum platnosti: Datum účinnosti: Změna: 1.5.2005 1.5.2005 0 Dne: 13.4.2005 Dne: 25.4.2005 1 / 6 O B S A H : 1. Úvod 3 2. Oblast použití systému řízení 3 3. Politika 3 4.
VíceČESKÁ TECHNICKÁ NORMA
ČESKÁ TECHNICKÁ NORMA ICS 35.040 Prosinec 2011 Informační technologie Bezpečnostní techniky Směrnice pro implementaci systému řízení bezpečnosti informací ČSN ISO/IEC 27003 36 9790 Information technology
VíceKybernetická bezpečnost MV
Kybernetická bezpečnost MV Ing. Miroslav Tůma Ph. D. odbor kybernetické bezpečnosti a koordinace ICT miroslav.tuma@mvcr.cz Agenda 1. Pokyn MV - ustanovení Výboru pro řízení kybernetické bezpečnosti 2.
VíceSpisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.)
Spisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.) Adam Kučínský Národní bezpečnostní úřad Národní centrum kybernetické bezpečnosti Prezentace vzhledem ke svému rozsahu nepostihuje kompletní
VíceVěstník ČNB částka 20/2002 ze dne 19. prosince 2002
Třídící znak 1 1 2 0 2 5 1 0 OPATŘENÍ ČESKÉ NÁRODNÍ BANKY Č. 12 ZE DNE 11. PROSINCE 2002 K VNITŘNÍMU ŘÍDICÍMU A KONTROLNÍMU SYSTÉMU BANKY 0 Česká národní banka podle 15 s přihlédnutím k 12 odst. 1 a 8
VíceSystémy řízení EMS/QMS/SMS
Systémy řízení EMS/QMS/SMS Ústí nad Labem 10/2014 Ing. Jaromír Vachta Systém řízení EMS Systém environmentálního managementu Systém řízení podle ČSN EN ISO 14001:2004 Podstata EMS - detailní informace
VíceOchrana osobních údajů a kybernetická bezpečnost v roce Ing. Michal Hager
Ochrana osobních údajů a kybernetická bezpečnost v roce 2018 Ing. Michal Hager GDPR - kodexy chování a vydávání osvědčení Obsah Obsah Ochrana osobních údajů ve světle obecného nařízení GDPR o Propojení
VíceŘízení rizik ICT účelně a prakticky?
Řízení rizik ICT účelně a prakticky? Luděk Novák, Petr Svojanovský, ANECT a.s. ISSS 12. 13. dubna 2010, Hradec Králové OBSAH Proč řízení rizik ICT? Základní prvky řízení rizik ICT Příklady ohodnocení Potřeby
VíceV Brně dne a
Aktiva v ISMS V Brně dne 26.09. a 3.10.2013 Pojmy ISMS - (Information Security Managemet System) - systém řízení bezpečnosti č informací Aktivum - (Asset) - cokoli v organizaci, co má nějakou cenu (hmotná
VíceStrategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.
Strategie Implementace GDPR Michal Zedníček michal.zednicek@alef.com ALEF NULA, a.s. Co je obsahem GDPR Kdo/co/jak/proč Definice zpracování OÚ Organizační opatření Řízení bezpečnosti OÚ Pravidla ochrany
VíceKybernetická bezpečnost
Kybernetická bezpečnost Ondřej Steiner, S.ICZ a. s. 25.9.2014 1 Obsah Zákon co přináší nového? Nové pojmy KII vs VIS Příklady Povinnosti Jak naplnit požadavky Proč implementovat? Bezpečnostní opatření
VíceInformatika / bezpečnost
Informatika / bezpečnost Bezpečnost, šifry, elektronický podpis ZS 2015 KIT.PEF.CZU Bezpečnost IS pojmy aktiva IS hardware software data citlivá data hlavně ta chceme chránit autorizace subjekt má právo
VíceMetodický dohled - jak správně ošetřit požadavky legislativy ICT projektu Jan Heisler, Relsie, spol. s r.o.
Metodický dohled - jak správně ošetřit požadavky legislativy ICT projektu Jan Heisler, Relsie, spol. s r.o. http://www.relsie.cz/ Současný stav projektů v ICT Procesy dohled řízení Legislativa národní
VíceINFORMACE O ZAVEDENÉM SYSTÉMU KVALITY dle normy ČSN EN ISO 9001:2009 ve společnosti
INFORMACE O ZAVEDENÉM SYSTÉMU KVALITY dle normy ČSN EN ISO 9001:2009 ve společnosti Obsah: 1) Adresa společnosti 2) Historie firmy 3) Rozsah systému kvality 4) Systém managementu kvality 5) Povinnosti
VíceProfesionální a bezpečný úřad Kraje Vysočina
Profesionální a bezpečný úřad Kraje Vysočina Jak projekt vznikl, aneb potřeba versus možnosti Kraj Vysočina patří dlouhodobě k velmi úspěšným subjektům při čerpání finančních prostředků z EU Dlouhodobé
VíceŠkolení QMS pro zaměstnance společnosti ČSAD Tišnov, spol. s r.o.
Školení QMS pro zaměstnance společnosti ČSAD Tišnov, spol. s r.o. Ing. Pavel Trvaj QESTR Spojenců 876 674 01 Třebíč pavel.trvaj@qestr.cz IČ: 68660910 Řízení QMS Co je to kvalita? Řízení QMS jakost (kvalita)
VíceVěstník ČNB částka 18/2010 ze dne 21. prosince ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010
Třídící znak 2 2 1 1 0 5 6 0 ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010 k výkonu činnosti organizátora regulovaného trhu, provozovatele vypořádacího systému a centrálního depozitáře cenných
VíceMANAGEMENT KYBERNETICKÉ BEZPEČNOSTI
MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI TÉMA Č. 4 SOUBOR POSTUPŮ PRO MANAGEMENT BEZPEČNOSTI INFORMACÍ POLITIKA A ORGANIZACE BEZPEČNOSTI INFORMACÍ pplk. Ing. Petr HRŮZA, Ph.D. Univerzita obrany, Fakulta ekonomiky
VíceDokumentace pro plánování a realizaci managementu jakosti dle požadavků
Dokumentace pro plánování a realizaci managementu jakosti dle požadavků Požadavek norem ISO 9001 ISO/TS 16949 : 4.2 na dokumentaci Dokumentace systému managementu jakosti musí zahrnovat: a) dokumentované
VíceEnvironmentální management
Environmentální management 1 Co je to EMS a proč ho firmy implementují do svého systému řízení? 2 Environmentální management 3 Čím se liší certifikace EMS a EMAS? Certifikací EMS nazýváme činnost certifikačního
VíceISO 9001:2015 CERTIFIKACE ISO 9001:2015
CERTIFIKACE ISO 9001:2015 Akreditace UKAS ISO 9001:2015 Požadavky UKAS Zvažování rizik se znalostí kontextu organizace Efektivní vedení (leadership) Méně dokumentace v systému managementu kvality Aplikace
VíceStatutární město Brno, městská část Brno-střed INFORMAČNÍ KONCEPCE
Statutární město Brno, městská část Brno-střed INFORMAČNÍ KONCEPCE Pokyn tajemníka č.: 12 Bc. Petr Štika, MBA, LL.M., v.r. Vydání č.: 1 tajemník ÚMČ Brno-střed Účinnost: 16.07.2018 Vydal/schválil: Bc.
VíceAplikovaná informatika
1 Aplikovaná informatika Případová studie bezpečnosti IS ZEMÁNEK, Z. - PLUSKAL, D. Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/15.0070)
VíceSystémy řízení QMS, EMS, SMS, SLP
Systémy řízení QMS, EMS, SMS, SLP Ústí nad Labem 11/2013 Ing. Jaromír Vachta Systém řízení QMS Systém managementu kvality Systém řízení podle ČSN EN ISO 9001:2009 - stanovení, pochopení a zajištění plnění
VíceKlíčové aspekty životního cyklu essl
Klíčové aspekty životního cyklu essl Zbyšek Stodůlka Praha, 22. 3. 2016 Spisová služba v elektronické podobě - během tzv. přechodného období (1. 7. 2009-1. 7. 2012) povinnost určených původců uvést výkon
VíceÚvod - Podniková informační bezpečnost PS1-2
VŠFS; Aplikovaná informatika - 2006/2007 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Úvod - Podniková informační bezpečnost PS1-2 VŠFS; Aplikovaná informatika - 2006/2007 2 Literatura Kovacich G.L.:
VíceNávrh zákona připravil a předložil Národní bezpečnostní úřad. Předložen k dalšímu legislativnímu projednávání v Parlamentu České republiky
Dagmar Brechlerová Vláda České republiky 2. ledna 2014 schválila Návrh zákona o kybernetické bezpečnosti a o změně souvisejících zákonů (tzv. Zákon o kybernetické bezpečnosti) Návrh zákona připravil a
VícePolitika ISŘ. Je-li tento dokument vytištěn, stává se neřízeným. MERO ČR, a. s. Veltruská 748, Kralupy nad Vltavou R-GŘ-04
MERO ČR, a. s. Veltruská 748, Kralupy nad Vltavou R-GŘ-04 A Politika ISŘ 15. Ing. Otakar Krejsa v. r. 18. listopadu 2016 Ing. Milan Hořák v. r. Ing. Stanislav Bruna v. r. - organizační změny - doplnění
VícePříspěvek je věnován základním informacím o způsobu volby vhodné strategie řízení kontinuity činností v organizaci.
Mgr. Monika Johaníková Ochrana & Bezpečnost 2013, ročník II., č. 3 (podzim), ISSN 1805-5656 Stanovení strategie řízení kontinuity činností Anotace Příspěvek je věnován základním informacím o způsobu volby
VíceÚvod. Projektový záměr
Vzdělávací program Řízení jakosti a management kvality Realizátor projektu: Okresní hospodářská komora Karviná Kontakt: Svatováclavská 97/6 733 01 KARVINÁ +420 596 311 707 hkok@hkok.cz www.akademieok.cz
VíceAudity ISŘ. Je-li tento dokument vytištěn, stává se neřízeným. MERO ČR, a. s. Veltruská 748, Kralupy nad Vltavou SJ-GŘ Lenka Šloserová v. r.
MERO ČR, a. s. Veltruská 748, Kralupy nad Vltavou SJ-GŘ-22 A Audity ISŘ 13. Lenka Šloserová v. r. 19. listopadu 2015 Hana Fuxová v. r. Ing. Stanislav Bruna v. r. - Organizační změny - Implementace ISO
VíceManagement informační bezpečnosti
Management informační bezpečnosti Definice V Brně dne 3. října 2013 Definice Common Criterta ITIL COBIT CRAMM Přiměřená ábezpečnostč Management informační bezpečnosti 2 Common Criteria Common Criteria
VícePRIVACY POLICY. Issued / vydáno dne: Written by / vypracoval: Mgr. Michaela Škrabalová. Revised by / revidoval: ---
Issued / vydáno dne: 2018-05-29 Written by / vypracoval: Mgr. Michaela Škrabalová Revised by / revidoval: --- Approved by / schválil: Ing. Petr Brabec Supersedes/nahrazuje: --- Valid from / platné od:
VícePolitika bezpečnosti informací
ORGANIZAČNÍ SMĚRNICE Název : Politika bezpečnosti informací Číslo dokumentu: OS4402 Vydání č.: 04 Výtisk č.: 01 Platnost od: 03.06.2013 Účinnost od : 18.06.2013 Platnost do: Zpracoval: Ing. Vladimír Fikejs
VíceGradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI
Gradua-CEGOS, s.r.o. člen skupiny Cegos Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER EMS
VíceZpracování a udržování Registru právních a jiných požadavků
MERO ČR, a.s. Veltruská 748, Kralupy nad Vltavou SJ-GŘ-15 A Zpracování a udržování Registru právních a jiných požadavků 13. Ing. Blanka Kožená v. r. 27. května 2016 Hana Fuxová, MBA v. r. Ing. Stanislav
VíceBezpečnostní politika informací v ČSSZ
Č. j.: 11 1700 2.6.2006/1641 Praze dne 9.6.2006 SMĚRNICE ŘEDITELE ODBORU BEZPEČNOSTNÍ POLITIKY č. 11/2006 Bezpečnostní politika informací v ČSSZ O B S A H : Čl. 1 Úvodní ustanovení Čl. 2 Cíle a zásady
VíceVýukový materiál zpracovaný v rámci projektu Výuka moderně
Střední průmyslová škola strojnická Olomouc, tř. 17. listopadu 49 Výukový materiál zpracovaný v rámci projektu Výuka moderně Registrační číslo projektu: CZ.1.07/1.5.00/34.0205 Šablona: III/2Management
VíceŘízení kybernetické a informační bezpečnosti
Řízení kybernetické a informační bezpečnosti Martin Hanzal předseda sekce Kybernetická a informační bezpečnost AOBP CEVRO Institut, 22. dubna 2014 Sekce Kybernetická a informační bezpečnost Je nevládní,
VíceBEZPEČNOSTI INFORMACÍ
Systém managementu BEZPEČNOSTI INFORMACÍ Martin Drastich Vývoj a současnost standardů informační bezpečnosti Komentář normy ISO/IEC 27001:2005 Implementace systému managementu bezpečnosti informací Audit,
VíceSystémová analýza a opatření v rámci GDPR
Systémová analýza a opatření v rámci GDPR Kraje a právnické osoby zřizované kraji 1. března 2018 Cíle systémové analýzy Dne 25. května 2018 nabývá účinnosti nařízení Evropského parlamentu a Rady (EU) 2016/679
VíceZákon o kybernetické bezpečnosti
Zákon o kybernetické bezpečnosti Ing. Ondřej Ševeček GOPAS a.s. MCSM:Directory2012 MVP:Security CEH CHFI CISA CISM CISSP ondrej@sevecek.com www.sevecek.com GOPAS: info@gopas.cz www.gopas.cz www.facebook.com/p.s.gopas
VíceNávrh. VYHLÁŠKA ze dne 2016 o požadavcích na systém řízení
Návrh II. VYHLÁŠKA ze dne 2016 o požadavcích na systém řízení Státní úřad pro jadernou bezpečnost stanoví podle 236 zákona č..../... Sb., atomový zákon, k provedení 24 odst. 7, 29 odst. 7 a 30 odst. 9:
VíceTyp aktiv Aktivum Hrozba Zranitelnost Riziko
Zbytková rizika Typ aktiv Aktivum Hrozba Zranitelnost Částečná úroveň rizika Snížení hrozby Snížení zranit. Zbytkové Namapovaná opatření Riziko C I A T MAX Hodnota MAX Hodnota riziko ISO? specif.? Datová
Více