Požadavky a principy ISMS

Rozměr: px
Začít zobrazení ze stránky:

Download "Požadavky a principy ISMS"

Transkript

1 AGENDA Vymezení procesu informační bezpečnosti Životní cyklus ISMS Požadavky na dokumentaci Požadavky na záznamy Požadavky a principy ISMS Gabriel Lukáč

2 Vymezení procesu řízení informační bezpečnosti Je kontinuální proces, v průběhu kterého dochází k: vyhodnocování rizik, návrhu a realizaci opatření k jejich eliminaci kontrole aktuálnosti rizik a dodržování opatření k jejich eliminaci ve stále měnícím se prostředí!!! Lze jen velmi obtížně vyčíslit přimou návratnost investic Je téma, které se dostává do popředí díky stále větší informatizaci a rychlosti obchodních procesů

3 Vymezení procesu řízení informační bezpečnosti Východiska pro budování informační bezpečnosti Ochota managementu se infor. bezp. zabývat a to kontinuálně! Vyčlenění potřebných vnitřních lidských zdrojů Ochota managementu investovat Připravenost spolupracovat s externími subjekty Připravenost managementu na možné změny, např. v interních procesech, org. struktuře,...

4 Vymezení procesu řízení informační bezpečnosti Legislativní základ Zákony: Obchodní zákoník obchodní tajemství Zákon o ochraně utaj. skut. Zákon o ochraně osobních údajů Zákon o el. podpisu Zákon o některýchslužbáchinformační společnosti Normy (ČSN ISO/IEC) IT Code of Practice for information Security Management (resp. BS 7799) pojetí a modely, řízení a plánování, techniky řízení bezpečnosti IT Evaluation criteria for IT security Standardy ISVS

5 Vymezení procesu řízení informační bezpečnosti Legislativní základ Systém řízení informační bezpečnosti INFORMATION SECURITY MANAGEMENT SYSTEM (ISMS) Aplikované standardy BS-7799, resp. ISO 17799, apod.

6 Postup budování ISMS

7 Životní cyklus ISMS

8 Životní cyklus ISMS fáze přípravy Definice rozsahu systému Definice politiky řízení informační bezpečnosti Definice zodpovědností (bezp. Manager, fórum,...) Zpracování analýzy rizik Definice přístupu k rizikům Identifikace aktiv Identifikace hrozeb a zranitelností Vytvoření plánu eliminace/snížení/akceptace/převedení rizik Návrh protiopatření Prohlášení o aplikovatelností propojení oblastí normy část B. (controls) a dokumentace ISMS

9 Ukázka controls řešené normou BS 7799

10 Životní cyklus ISMS fáze zavedení Formulace pravidel pro řízení rizik Implementace jednotlivých protiopatření Archivace, přihlašování, klasifikace,... Stanovení zodpovědností osob, třetích stran,... Výcvik uživatelů Zavedení procedur pro reakce na bezpečnostní incidenty

11 Životní cyklus ISMS fáze monitorování a revize Realizace procedur pro reakce na incidenty a monitoring Pravidelná revize stavu a aktuálnosti opatření a jejich východisek Realizace interních auditů Pravidelné přezkoumání ISMS vedením organizace (trendy, stav, východiska,...) Tvorba záznamů souvisejících s monitorováním stavu ISMS

12 Životní cyklus ISMS fáze údržby a zlepšování Implementace návrhu na zlepšování ISMS Realizace nápravných a preventivních opatření Komunikace těchto opatření na zainteresované strany

13 Požadavky na dokumentaci I. Bezpečnostní politika Popis rozsahu ISMS Analýza rizik Plán řízení rizik Dokumentované postupy (směrnice) Záznamy (důkazy v libovolné formě) SOA statement of applicability prohlášení o aplikovatelnosti

14 Požadavky na dokumentaci II. Dokumenty musí být: Schváleny Pravidelně revidovány Dostupné v aktuální verzi Identifikovány externí / interní Distribuce dokumentace musí být řízena Neaktuální verze značeny / likvidovány

15 Požadavky na záznamy Musí existovat důkazy, že ISMS je zavedeno a dodržováno Jejich správa musí být řízena Zálohování, archivace, skartace,... Musí být dostupné, zvlášť při řešení bezpečnostních incidentů Příklady záznamů: Návštěvní kniha, provozní deníky, logy autorizačního procesu, apod..

16 AGENDA Fáze budování a klíčová témata při zavádění Certifikace Proces zavádění ISMS Gabriel Lukáč

17 Kroky budování informační bezpečnosti 0. (Úvodní audit) 1. Cíle a strategie řešení bezpečnosti IS 2. Analýza rizik 3. Bezpečnostní politika 4. Bezpečnostní standardy ( controls ) 5. Zavádění řízení informační bezpečnosti 6. Monitoring a audit - záznamy 7. (Certifikace systému)

18 Cíle úvodního auditu Zmapování stavu Infrastruktury Politiky zabezpečení informací Infrastruktury zabezpečení informací Zabezpečení přístupu třetích stran Používání externích služeb (outsourcing) Odpovědnosti za majetek Klasifikace informací Zajištění odpovědnosti za práce a služby Znalostí uživatelů Reakce na události v zabezpečení informací a na nesprávné činnosti Výstupem je formalizovaná zpráva

19 Cíle a strategie řešení bezpečnosti IS - 1 Obecný cíl: Eliminovat přímé i nepřímé ztráty způsobené zneužitím, poškozením, zničením, nedostupností informací vytvoření uceleného, nákladově akceptovatelného systému řízení bezpečnosti informací. Definice cílů by měla zahrnovat i: Investiční možnosti Omezení z pohledu dislokace atd. Řešení aktuálních problémů (priority praxe) atd.

20 Cíle a strategie řešení bezpečnosti IS - 2 Vymezení hranic řešení: Typy informací Která data, které informace, do jaké hloubky Části IS Které aplikace či jiné části IS, které části infrastruktury, Organizační složky organizace Které útvary, lokality, Části okolí společnosti Dodavatelé, partneři, dceřiné společnosti,

21 Cíle a strategie řešení bezpečnosti IS - 3 Definice standardního projektu řešení informační bezpečnosti Co je výstupem projektu? Jaký je rozsah projektu? Co určuje úspěch projektu? Jaká jsou rizika projektu a jak je eliminovat? Jaký je rozpočet projektu? Harmonogram? Jak bude projekt řízen?

22 Analýza rizik - úvod Fungující (dlouhodobě) organizace musí rizika řídit, tj. zjišťovat jaké jsou a rozhodovat se zda: Riziko akceptovat (je-li přijatelné) Riziko snížit (ochranná opatření) Převést na někoho jiného (pojištění, outsourcing) Riziku se vyhnout (danou aktivitu nerealizovat) Nejdříve je nutno rizika znát tj. provést analýzu rizik

23 Analýza rizik zahrnuje: identifikaci aktiv identifikacihrozeb ohodnocení aktiv určení pravděpodobnosti uplatnění hrozby určení zranitelnosti každého aktiva hrozbou výpočet hodnoty Riziko pro každou dvojici aktiva a hrozby Riziko = Hodnota aktiva * Pravděpodobnost uplatnění hrozby * Zranitelnost

24 Analýza rizik ilustrativní příklady Nakažení počítačovým virem = nefunkčnost X% PC: Prostoje jejich vyčíslení Ztráta zakázek v souvislostí s neschopnosti reagovat na požadavky vyčíslení dopadů Sankce neplnění smluv (např. JIT provozy) Nedostupnost systému (výpadek proudu, porucha HW, živelná katastrofa, ) Chyba uživatele (smazání modifikace dat, snížení produktivity,...) Ztráta dat (HW porucha, absence zálohování, ) Porušení důvěrnosti komunikace ( )

25 Analýza rizik - výstup Dokument (rozbor), odpovídající na otázky: Co se stane, když nebudou informace chráněny? Jak může být porušena bezpečnost informací? S jakou pravděpodobností se to stane? Vhodná je forma tabulky s váženým ohodnocením dopadů a případně podrobnějším rozborem Slouží ke stanovení následujících kroků, jejich priorit, odhadu rozpočtu atd. Významným podkladem je např. ISO Základní přístup Neformální přístup Podrobná analýza Kombinovaný přístup

26 Analýza rizik základní přístup Základní přístup Rychlá metoda zavedení základní sady opatření Vychází se z obecných bezpečnostní opatření standardizovaná řešení (napájení, firewall, antivirová ochrana, hesla, ) Výhody: Levné, rychlé Nevýhody: přílišná obecnost Vhodnost:organizace z menší závislosti na IT, úvodní řešení inf. bezpečnosti

27 Analýza rizik neformální přístup Neformální přístup Pragmatický přístup k analýze Vychází se ze zkušeností konzultantů pro bezpečnost, interních pracovníků, znalosti prostředí Výhody: Levné, rychlé Nevýhody: složitější obhajitelnost nevychází z metodologie obecné analýzy rizik Vhodnost:organizace z menší závislosti na IT, úvodní řešení inf. bezpečnosti

28 Analýza rizik podrobná Podrobná analýza rizik Nejpřesnější, časově i finančně nejnáročnější Vychází se z identifikace a ohodnocení aktiv, posouzení hrozeb a odhadu zranitelnosti. Následně se navrhnou bezpečnostní opatření odpovídající co nejpřesněji míře rizika, resp. jeho pravděpodobnosti a dopadu Výhody: Přesné, úplné, umožňuje velmi přesně volit bezp. opatření Nevýhody: Nákladné (interní/externí náklady), pomalé Vhodnost:organizace z vysokou citlivostí na informační bezpečnost

29 Analýza rizik kombinovaný přístup Kombinovaný přístup Jedná se o použití jednotlivých přístupů v jednotlivých částech analýzy Výhody / nevýhody: Účelný kompromis (náklady, cena, úplnost), umožňuje v průběhu procesu jednotlivé části analýzy zdokonalovat a kontinuálně na nové skutečnosti reagovat.

30 Proces řízení rizik Řízení informačních rizik Vliv hrozeb Hrozby Vliv hrozeb Četnost hrozeb a úroveň zranitelnosti Úroveň bezpečnosti Indikace Rizika Úroveň rizik Aktualizace rizik Incidenty Návrhy na opatření Preventivní opatření Potenciální přímá a nepřímá cena rizik Reálné dopady Učení se Náprava Preventivní Opatření Nápravná

31 Analýza rizik - nástroje Nástroje pro provádění analýzy rizik: Existuje řada podpůrných aplikačních řešení, které díky zabudované metodologii automatizovaně zpracovávají analýzu od fundamentálních otázek až po detailní rozbory dílčích okruhů. Může se jednat o velmi nákladné (pořízení/provoz) aplikace Typičtí zástupci: CRAMM, Cobra, NetRecon, RiskPAC, )

32 Ukázka kalkulace rizik

33 Risk Treatement Plan Obsahuje pro jednotlivá rizika: Opatření pro jejich řízení Akceptace rizika (např. z finančních důvodů) Přenos rizika (smlouvy, pojištění, apod.) Redukovaní rizika na akceptovatelnou úrověň Identifikace controls dle normy Časový (finanční) rámec pro jejich řízení Identifikace akceptovatelných rizik Obsahuje časový, finanční rámec a zodpovědnosti

34 Analýza rizik problémy a chyby Nedokončená / neúplná analýza rizik Investuje se do vybraných částí systému, což z pohledu celku přináší malý či žádný efekt Absence pravidelné aktualizace analýzy Systém (proces infor. bezp.) pak nerespektuje změny v okolí a stává se postupně neúčinným Vynechaní analýzy subjektivní výběr protiopatření Vysoké náklady dle znalostí a doporučení správce IT, minimální dopad na celkovou bezpečnost Zavádění opatření proti VŠEMU

35 Bezpečnostní politika - úvod Základní dokument (resp. jeho aplikace) řešení informační bezpečnosti Závazná pro celou společnost Většinou součást dokumentace ISO900x či jiných systémů řízení kvality, součást požadavků NBÚ Rozdílný rozsah Předmětem dokumentu je: Definovat hlavní cíle při ochraně informací Stanovit způsob, jak bezpečnost řešit Určit pravomoci a zodpovědnosti Nezávislost na technologiích

36 Bezpečnostní politika stav v ČR PSIB 03 (E&Y, NBÚ, DSM) Má organizace ve formě dokumentu formálně definovanou a nejvyšším vedením přijatou bezpečnostní politiku? 46% 54% Ano Ne

37 Bezpečnostní politika obsah/rozsah Krátká Dlouhá Výhody Nevýhody Rychlá příprava Rychlejší proces schvalování Čitelnost a pochopitelnost pro jednotlivé zaměstnance Díky malému rozsahu není potřeba časté aktualizace Hlavní objem prací je přesunut do problematiky bezpečnostních standardů Obtížná čitelnost pro zaměstnance Komplexní kodex pro informační bezpečnost Definice pravidel a principů na jednom místě Vzhledem k možnosti rozpracovat jednotlivé body je menší riziko nepochopení Při malých změnách v systémů řízení bezpečnosti je nutno politiku aktualizovat Práce na zpracování mohou trvat neúměrně dlouho Dlouhý proces schvalování politiky Je nutno pro zaměstnance vytvořit profesně orientované extrakty = dodatečné náklady

38 Úvod Bezpečnostní politika - možný obsah Cíle a rozsah bezpečnostní politiky Charakteristika IS Východiska bezpečnosti (Zákonné normy, Strategie organizace, Interní dokumenty&předpisy, Smluvní vztahy, ) Pravidla a zásady bezpečnosti IS (fyzická a personální bezpečnost, Administrativní a procedurální bezpečnost, Komunikační bezpečnost, bezpečnost IS, ) Řízení bezpečnosti (bezp. infrastruktura, popis rolí a zodpovědnosti, řešení bezp. Incidentů, testování a monitoring) Závěr, přílohy, slovník pojmů

39 Bezpečnostní politika problémy a chyby Přebírání politiky jiné organizace Nereálná politika chtít nemusí znamenat možnost/schopnost realizovat Politika plná kompromisů Neúčinná propagace podcenění významu a způsobu evangelizace politiky v rámci organizace

40 Bezpečnostní standardy - úvod Detailní zpracování způsobů ochrany informací dle jednotlivých oblastí Vyšší frekvence úprav v závislosti na změnách okolí, technologií, potřeb Vycházejí z bezpečnostní politiky, resp. zajišťují její naplnění Cílem je eliminovat jednotlivá rizika technickým a procedurálními prostředky

41 Bezpečnostní standardy - vzory Typické standardy - možno rozdělit do tří základních oblastí: Administrativní a uživatelské směrnice Standardy administrace Standardy pro práci se systémem uživatelé Přihlašování se k systému (silná autentizace, konstrukce hesla, ) Přijímání a propouštění zaměstnanců Antivirová ochrana Pravidla pro přístup mobilních / externích uživatelů Pravidla pro vývoj software (zabezpečení, autorský zákon, ) Řízení rizik Monitorování Audit a monitorování (a vedení záznamů) Kontroly dodržování standardů a politiky Obnova procesů DR (disaster recovery) plány Politiky zálohování Reakce na bezpečnostní incidenty Atd.

42 Bezpečnostní standardy - poznámky Typické problémy: Neuplatňování celého rozsahu standardů ulehčení práce administrátorů, snaha uživatelů o jejich obcházení Standardy nejsou úplné tj. existují ale jsou nepřesné či velmi povrchní Kontrola jejich dodržování je v kompetenci těch, kteří je mají realizovat (IT ->IT)

43 Statement of Applicability Prohlášení o aplikovatelnosti Dokument v libovolné formě Obsahuje informace, zda a jak je reagováno na jednotlivé požadavky normy části A. (odkazy na jednotlivé směrnice, politiky, provozní a technická opatření) Klíčový dokument, vůči kterému se vymezuje úplnost a vhodnost jednotlivých opatření

44 Statement of Applicability - ukázka

45 Implementace bezpečnosti IS Zahrnuje implementaci bezpečnostní politiky a standardů do praxe Implementace vesměs formou projektu Výběr konkrétních způsobů zabezpečení Evangelizace bezpečnosti mezi uživateli Školení!!!!!!!!! Výběr integrovatelných a osvědčených řešení v kontextu používaných systému, aplikací a prvků infrastruktury

46 Implementace bezpečnosti IS Realizace probíhá formou: Organizačních / procedurálních opatření Změnou konfigurace a nastavením stávajících systémů, aplikací, Zakoupením nových nástrojů pro podporu bezpečnosti!! Nehledejte vítěze testů odborných časopisů, ale řešení vyhovující kontextu vaší bezpečnostní politiky. Sebelepší řešení, nasazené v nevhodném prostředí může znamenat jen vyšší náklady obchodní zástupci jednotlivých producentů jsou velmi dobře školeni k prodeji svého dílčího řešení

47 Implementace bezpečnosti IS vybrané okruhy technologických témat OS: Microsoft Windows / UNIX (monitorování, auditing, centrální databáze a správa uživatelů, zálohování dat, clustering, aktualizace klientských systémů ) Antivirové programy (centrální správa a distribuce, celosvětový aktualizační servis, ) Síťová ochrana: firewall, IDP, IDS (jednotný management u rozsáhlých systémů, vytváření ochranných zón, funkce proaktivní ochrany, VPN, antivirová ochrana, aktivní prvky sítí, wireless sítě, ) Autentizace (silná autentizace, integrace do aplikací, centrální správa uživatelů, PKI infrastruktura, ) Šifrování (elektronická pošta, pevné disky přenosných počítačů, práce v interních aplikacích z prostředí Internetu, ) Zálohování (vytvoření záložních/provozních kopií, verifikace obnovitelnosti, šifrování ztráta medií, ) Monitorování systému (kontrola nastavení systémů, verifikace systémových záplat oproti centrálním databázím, )

48 Monitoring a audit Poskytuje zpětnou vazbu pro výše popsané kroky Nejméně naplňovaná oblast procesu řízení informační bezpečnosti Nutno definovat, co je důležité rozsah informací poskytovaných systémy je zpravidla nekonečný Interní & Externí audit / monitoring / testování systémů a aplikací Jednorázový (audit) & kontinuální (monitoring)

49 Monitoring a audit - proces Definice rozsahu (vesměs je součástí standardů či politiky) Organizační zajištění & zodpovědnosti (vedení společnosti, bezpečnostní manager, vlastníci informací, interní auditor, ) Realizace monitoringu Nástroje / prostředky pro monitorování Součást OS, sofistikované nástroje, Revize výsledků Přijmutí opatření (provozních, sankčních, změnových, )

50 Monitoring a audit - testování Bezpečnostní audit Revize shody reality s plánovými dokumenty Ne-invazivnízpůsob kontroly stavu bezpečnosti, založený na sběru informací o konfiguraci systémů zakončený hodnotící zprávou Penetrační test Jedná o testování možnosti průniku, možnosti poškození systému či jeho znepřístupnění Vesměs bez přítomnosti zaměstnanců testované organizace!?! Možnost způsobení škody Výsledkem je zpráva o nalezených slabých místech a možnostech

51 Certifikace systémů Certifikační audit je prováděn jako dvoufázový proces Fáze certifikace Fáze 1 Documentation (desktop) review Revize rozsahu a obsahu dokumentace ISMS Fáze 2 Implementation Audit Revize způsobu, úplnosti a komplexnosti zavedených protiopatření

52 Certifikační audit 1 fáze Documentation review Cca. 1 měsíc před druhou fází Zahrnuje: Revize rozsah ISMS Kompletnost požadované dokumentace Revize Statement of Applicability Existence a úplnost bezpečnostní politiky a bezpečnostních standardů Existence záznamů ISMS

53 Certifikační audit 2 fáze Implementation audit Zahrnuje: Interview s managementem Interview s vlastníky a uživateli ISMS Revize shody dokumentace s implementovaným systémem Revize jednotlivých částí systému Report jednotlivých zjištění Vypracování zprávy včetně doporučení

54 Vydání certifikátu o shodě se standardy

55 Děkuji za pozornost. ADRESA NeXA, s.r.o. Beranových , Praha 18 SPOJENÍ Tel.: Fax:

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti Ing. Daniel Kardoš, Ph.D 4.11.2014 ČSN ISO/IEC 27001:2006 ČSN ISO/IEC 27001:2014 Poznámka 0 Úvod 1 Předmět normy 2 Normativní odkazy 3 Termíny

Více

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005 Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005 Praha květen 2008 2008-03 - Bezpečnost informací jsou aktiva, která mají pro organizaci hodnotu. mohou existovat v různých podobách

Více

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@email.cz, 603 248 295

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@email.cz, 603 248 295 Zákon o kybernetické bezpečnosti základní přehled Luděk Novák ludekn@email.cz, 603 248 295 Obsah Zákon č. 181/2014 Sb., o kybernetické bezpečnosti Vyhláška č. 316/2014 Sb., vyhláška o kybernetické bezpečnosti

Více

ČSN ISO/IEC 27001 P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

ČSN ISO/IEC 27001 P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001 ČSN ISO/IEC 27001 Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky Představení normy ISO/IEC 27001 a norem souvisejících - Současný stav ISO/IEC 27001:2005

Více

Bezpečnost na internetu. přednáška

Bezpečnost na internetu. přednáška Bezpečnost na internetu přednáška Autorské právo a bezpečnost na internetu Bezpečnost informačního systému školy Ing. Ludmila Kunderová Ústav informatiky PEF MENDELU v Brně lidak@pef.mendelu.cz internetu

Více

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001 Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001 Hradec Králové duben 2009 2009-03 Informace versus Bezpečnost informací Informace (aktivum) - vše, co má hodnotu pro organizaci Bezpečnost

Více

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB Návrh vyhlášky k zákonu o kybernetické bezpečnosti Přemysl Pazderka NCKB Východiska ISO/IEC 27001:2005 Systémy řízení bezpečnosti informací Požadavky ISO/IEC 27002:2005 Soubor postupů pro management bezpečnosti

Více

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Bezpečnostní aspekty informačních a komunikačních systémů KS2 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní aspekty informačních a komunikačních systémů KS2 VŠFS; Aplikovaná informatika; SW systémy

Více

Kybernetická bezpečnost

Kybernetická bezpečnost Kybernetická bezpečnost Ondřej Steiner, S.ICZ a. s. 25.9.2014 1 Obsah Zákon co přináší nového? Nové pojmy KII vs VIS Příklady Povinnosti Jak naplnit požadavky Proč implementovat? Bezpečnostní opatření

Více

Bezpečnostní politika společnosti synlab czech s.r.o.

Bezpečnostní politika společnosti synlab czech s.r.o. Bezpečnostní politika společnosti synlab czech s.r.o. Platnost dokumentu: 14. ledna 2015 Datum vypracování: 8. ledna 2015 Datum schválení: 13. ledna 2015 Vypracoval: Schválil: Bc. Adéla Wosková, Ing. Jaroslav

Více

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc. Fyzická bezpečnost, organizační opatření RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost,

Více

Bezepečnost IS v organizaci

Bezepečnost IS v organizaci Bezepečnost IS v organizaci analýza rizik Zabezpečení informačního systému je nutné provést tímto postupem: Zjistit zranitelná místa, hlavně to, jak se dají využít a kdo toho může zneužít a pravděpodobnost

Více

1. KURZ č. 1 - QMS - Školení a výklad normy ČSN EN ISO 9001:2001. 2. KURZ č. 2 - QMS - Školení interních auditorů QMS a metrologa

1. KURZ č. 1 - QMS - Školení a výklad normy ČSN EN ISO 9001:2001. 2. KURZ č. 2 - QMS - Školení interních auditorů QMS a metrologa Návrh školících modulů pro projekt dotací ESF Tématika norem: - ČSN EN ISO 9001: 2001 Systémy managementu jakosti - Požadavky; - ČSN ISO/IEC 27001:2006 Informační technologie - Bezpečnostní techniky -

Více

2. setkání interních auditorů ze zdravotních pojišťoven

2. setkání interních auditorů ze zdravotních pojišťoven 2. setkání interních auditorů ze zdravotních pojišťoven Současné výzvy IT interního auditu 20. června 2014 Obsah Kontakt: Strana KPMG průzkum stavu interního auditu IT 2 Klíčové výzvy interního auditu

Více

SOUBOR OTÁZEK PRO INTERNÍ AUDIT (Checklist)

SOUBOR OTÁZEK PRO INTERNÍ AUDIT (Checklist) SOUBOR OTÁZEK PRO INTERNÍ AUDIT (Checklist) Oblast 1. STRATEGICKÉ PLÁNOVÁNÍ Jsou identifikovány procesy v takovém rozsahu, aby byly dostačující pro zajištění systému managementu jakosti v oblasti vzdělávání?

Více

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu. Návrh zákona o kybernetické bezpečnosti Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.cz Předmět úpravy VKB Obsah a strukturu bezpečnostní dokumentace

Více

Technické aspekty zákona o kybernetické bezpečnosti

Technické aspekty zákona o kybernetické bezpečnosti D Ů V Ě Ř U J T E S I L N Ý M Technické aspekty zákona o kybernetické bezpečnosti Michal Zedníček Key Account Manager CCSSS, ID No.: CSCO11467376 michal.zednicek@alef.com ALEF NULA, a.s. Petr Vácha Team

Více

Úvod - Podniková informační bezpečnost PS1-1

Úvod - Podniková informační bezpečnost PS1-1 VŠFS; Aplikovaná informatika - 2006/2007 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Úvod - Podniková informační bezpečnost PS1-1 VŠFS; Aplikovaná informatika - 2006/2007 2 Osnova I principy informační

Více

srpen 2008 Ing. Jan Káda

srpen 2008 Ing. Jan Káda nauka o srpen 2008 Ing. Jan Káda ČSN ISO/IEC 27001:2006 (1) aktivum cokoliv, co má pro organizaci hodnotu důvěrnost zajištění, že informace jsou přístupné pouze těm, kteří jsou k přístupu oprávněni integrita

Více

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

BEZPEČNOSTNÍ POLITIKA INFORMACÍ BEZPEČNOSTNÍ POLITIKA INFORMACÍ společnosti ČEZ Energetické služby, s.r.o. Stránka 1 z 8 Obsah: 1. Úvodní ustanovení... 3 2. Cíle a zásady bezpečnosti informací... 3 3. Organizace bezpečnosti... 4 4. Klasifikace

Více

Zabezpečené vzdálené přístupy k aplikacím případová studie. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert

Zabezpečené vzdálené přístupy k aplikacím případová studie. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert případová studie Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert Sektor veřejné správy Zpracovává řadu agend potřebných pro život občanů IT představuje strategický pilíř, o který se opírá

Více

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Není cloud jako cloud, rozhodujte se podle bezpečnosti Není cloud jako cloud, rozhodujte se podle bezpečnosti Marcel Jánský Manažer útvaru produktů a podpory prodeje 26. 2. 2013 České Radiokomunikace Vysílací služby Profesionální telekomunikační operátor Poskytovatel

Více

MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.8/2007

MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.8/2007 Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ

Více

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy Petr Řehoř, S.ICZ a.s. 25. září 2014 1 Důvěryhodná výpočetní základna Vlastní metodika pro návrh a implementaci počítačové infrastruktury

Více

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007 Gradua-CEGOS, s.r.o., Certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ

Více

SMĚRNICE DĚKANA Č. 4/2013

SMĚRNICE DĚKANA Č. 4/2013 Vysoké učení technické v Brně Datum vydání: 11. 10. 2013 Čj.: 076/17900/2013/Sd Za věcnou stránku odpovídá: Hlavní metodik kvality Za oblast právní odpovídá: --- Závaznost: Fakulta podnikatelská (FP) Vydává:

Více

Řešení pro správu logů, shodu a bezpečnost ve státní správě a samosprávě. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert

Řešení pro správu logů, shodu a bezpečnost ve státní správě a samosprávě. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert Řešení pro správu logů, shodu a bezpečnost ve státní správě a samosprávě Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert Agenda Úvod do problematiky Seznam problémů Definice požadavků,

Více

www.tuv-sud.cz TÜV SÜD Czech s.r.o. Systém energetického managementu dle ČSN EN 16001

www.tuv-sud.cz TÜV SÜD Czech s.r.o. Systém energetického managementu dle ČSN EN 16001 www.tuv-sud.cz s.r.o. Systém energetického managementu dle ČSN EN 16001 Zavádění sytému energetického managementu dle ČSN EN 16001 Záměr zvyšování energetické účinnosti trvalý proces zefektivňování snížení

Více

Příspěvek je věnován základním informacím o způsobu volby vhodné strategie řízení kontinuity činností v organizaci.

Příspěvek je věnován základním informacím o způsobu volby vhodné strategie řízení kontinuity činností v organizaci. Mgr. Monika Johaníková Ochrana & Bezpečnost 2013, ročník II., č. 3 (podzim), ISSN 1805-5656 Stanovení strategie řízení kontinuity činností Anotace Příspěvek je věnován základním informacím o způsobu volby

Více

ISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA

ISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA ISO 9001:2009 a ISO 27001:2005 dobrá praxe Ing. Martin Havel, MBA Obsah 1. Podstata řešení 2. Cíle 3. Průběh implementace 4. Přínos 5. Výsledky 6. Doporučení 2 Podstata řešení Vytvoření jednotného systému

Více

PŘÍLOHA C Požadavky na Dokumentaci

PŘÍLOHA C Požadavky na Dokumentaci PŘÍLOHA C Požadavky na Dokumentaci Příloha C Požadavky na Dokumentaci Stránka 1 z 5 1. Obecné požadavky Dodavatel dokumentaci zpracuje a bude dokumentaci v celém rozsahu průběžně aktualizovat při každé

Více

Kybernetická bezpečnost resortu MV

Kybernetická bezpečnost resortu MV Kybernetická bezpečnost resortu MV Ing. Miroslav Tůma Ph. D. odbor kybernetické bezpečnosti a koordinace ICT miroslav.tuma@mvcr.cz Agenda 1. Pokyn MV - ustanovení Výboru pro řízení kybernetické bezpečnosti

Více

Státní pokladna. Centrum sdílených služeb

Státní pokladna. Centrum sdílených služeb Státní pokladna Centrum sdílených služeb Státní pokladna Centrum sdílených služeb Organizační dopady při řešení kybernetické bezpečnosti Ing. Zdeněk Seeman, CISA, CISM Obsah prezentace Podrobnější pohled

Více

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha Standardy/praktiky pro řízení služeb informační bezpečnosti Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha Služby informační bezpečnosti Nemožnost oddělit informační bezpečnost od IT služeb

Více

ISO 9001 : 2015. Certifikační praxe po velké revizi

ISO 9001 : 2015. Certifikační praxe po velké revizi ISO 9001 : 2015 Certifikační praxe po velké revizi Audit Audit z lat. auditus, slyšení Vzhledem k rozsahu prověřování se audit obvykle zabývá jen vzorky a jeho výsledek tedy neznamená naprostou jistotu,

Více

MONITORING NEKALÝCH OBCHODNÍCH PRAKTIK

MONITORING NEKALÝCH OBCHODNÍCH PRAKTIK MONITORING NEKALÝCH OBCHODNÍCH PRAKTIK Dodržují vaši obchodníci a prodejní zástupci vaše obchodní podmínky? Uplatňují vaše etické principy všichni zaměstnanci vůči svým zákazníkům? Dostávají vaši zákazníci

Více

Bezpečnostní normy a standardy KS - 6

Bezpečnostní normy a standardy KS - 6 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní normy a standardy KS - 6 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 2 Osnova historický

Více

Základy řízení bezpečnosti

Základy řízení bezpečnosti Základy řízení bezpečnosti Bezpečnost ve společnosti MND a.s. zahrnuje: - Bezpečnost a ochranu zdraví - Bezpečnost provozu, činností - Ochranu životního prostředí - Ochranu majetku - Ochranu dobrého jména

Více

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI Gradua-CEGOS, s.r.o. člen skupiny Cegos Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER BOZP

Více

Security. v českých firmách

Security. v českých firmách Security v českých firmách Radek Prokeš Local Sales Representative Proč Security Rozvíjející se technologie a trendy Rozložení odpovědí v průzkumu Do zatím nejrozsáhlejšího InFact průzkumu se zapojilo

Více

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1 POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Verze 2.1 Obsah 1. Úvod... 4 2. Vymezení pojmů... 5 3. Bezpečnostní opatření... 7 3.1. Organizační opatření... 7 3.1.1.

Více

MANAŽER SM BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.10/2007

MANAŽER SM BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.10/2007 Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER SM PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ

Více

Úvod - Podniková informační bezpečnost PS1-2

Úvod - Podniková informační bezpečnost PS1-2 VŠFS; Aplikovaná informatika - 2006/2007 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Úvod - Podniková informační bezpečnost PS1-2 VŠFS; Aplikovaná informatika - 2006/2007 2 Literatura Kovacich G.L.:

Více

Z internetu do nemocnice bezpečně a snadno

Z internetu do nemocnice bezpečně a snadno Z internetu do nemocnice bezpečně a snadno Petr Hron, S.ICZ a.s. 2014 1 Z internetu do nemocnice bezpečně a snadno Identifikace problému Co je k tomu potřeba Bezpečný vzdálený přístup Bezpečnostní architektura

Více

Security. v českých firmách

Security. v českých firmách Security v českých firmách Proč Security Rozvíjející se technologie a trendy Rozložení odpovědí v průzkumu Do zatím nejrozsáhlejšího InFact průzkumu se zapojilo 141 firem z TOP 600 společností v ČR (podle

Více

Důvěryhodná výpočetní základna -DVZ

Důvěryhodná výpočetní základna -DVZ Důvěryhodná výpočetní základna -DVZ Petr Krůček, ICZ a. s. 12. 4. 2010, Hradec Králové 1 Důvěryhodná výpočetní základna -DVZ Bezpečná platforma budoucnosti Komplexní řešení zabezpečené výpočetní infrastruktury

Více

Certifikace pro výrobu čipové karty třetí stranou

Certifikace pro výrobu čipové karty třetí stranou Certifikace pro výrobu čipové karty třetí stranou Obsah: 1. Obsah 2. Seznam použitých zkratek 3. Úvod a cíl dokumentu 4. Certifikovaný dodavatel 5. Postup certifikace výroby BČK 6. Popis technologií 7.

Více

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba KATALOG služeb Ing. Jiří Štěrba Obsah Úvod 3 Služby 4 Zaměření 5 Nabídka 7 Poptávka 8 Ke stažení 9 Reference 10 Informace 11 Kontakty 12 2 Úvod Dovolte, abychom Vám poskytli informace, které jsou věnovány

Více

Bezpečnostní témata spojená se Zákonem o kybernetické bezpečnosti

Bezpečnostní témata spojená se Zákonem o kybernetické bezpečnosti Bezpečnostní témata spojená se Zákonem o kybernetické bezpečnosti Ing. Jiří Slabý, Ph.D. Business Solution Architect IBM 1 2014 IBM Corporation Zákon je zákon Národní bezpečnostní úřad vypracoval k návrhu

Více

Řízení rizik s nástroji SAP BusinessObjects GRC AC Josef Piňos, CONSIT s.r.o.

Řízení rizik s nástroji SAP BusinessObjects GRC AC Josef Piňos, CONSIT s.r.o. Řízení rizik s nástroji SAP BusinessObjects GRC AC Josef Piňos, CONSIT s.r.o. Bezpečnost informačních systémů Využívání informačních technologií, zejména sofistikovaných ERP systémů jako je SAP, znamená

Více

Zdravotnické laboratoře. MUDr. Marcela Šimečková

Zdravotnické laboratoře. MUDr. Marcela Šimečková Zdravotnické laboratoře MUDr. Marcela Šimečková Český institut pro akreditaci o.p.s. 14.2.2006 Obsah sdělení Zásady uvedené v ISO/TR 22869- připravené technickou komisí ISO/TC 212 Procesní uspořádání normy

Více

ČESKÁ TECHNICKÁ NORMA

ČESKÁ TECHNICKÁ NORMA ČESKÁ TECHNICKÁ NORMA ICS 35.040 Červenec 2009 Informační technologie Bezpečnostní techniky Řízení rizik bezpečnosti informací ČSN ISO/IEC 27005 36 9790 Information technology Security techniques Information

Více

Konsolidace nemocničních informačních systémů v prostředí cloud infrastruktury

Konsolidace nemocničních informačních systémů v prostředí cloud infrastruktury 18. října 2011 ehealth Days Konsolidace nemocničních informačních systémů v prostředí cloud infrastruktury Petr Siblík Rostoucí nároky na ICT Správa a bezpečnost IT Komplexnost IT Mobilita pacientů Požadavky

Více

Zkušenosti s budováním základního registru obyvatel

Zkušenosti s budováním základního registru obyvatel Zkušenosti s budováním základního registru obyvatel Jiří Dohnal, ICZ a.s. ISSS 2012 1 ROB - EDITOŘI Primární: evidence obyvatel (IS EO), cizinecký informační systém (CIS) UFO v rámci CIS? Potřeba pro:

Více

Příklad I.vrstvy integrované dokumentace

Příklad I.vrstvy integrované dokumentace Příklad I.vrstvy integrované dokumentace...víte co. Víme jak! Jak lze charakterizovat integrovaný systém managementu (ISM)? Integrovaný systém managementu (nebo systém integrovaného managementu) je pojem,

Více

Představení projektu Metodika

Představení projektu Metodika Představení projektu Metodika přípravy veřejných strategií Strategické plánování a řízení v obcích metody, zkušenosti, spolupráce Tematická sekce Národní sítě Zdravých měst Praha, 10. května 2012 Obsah

Více

Penetrační test & bezpečnostní audit: Co mají společného? V čem se liší?

Penetrační test & bezpečnostní audit: Co mají společného? V čem se liší? Penetrační test & bezpečnostní audit: Co mají společného? V čem se liší? Karel Miko, CISA (miko@dcit.cz) DCIT, s.r.o (www.dcit.cz) Nadpis Penetrační test i bezpečnostní audit hodnotí bezpečnost předmětu

Více

BEZPEČNOST IS. Ukončení předmětu: Předmět je zakončen zkouškou sestávající z písemné a doplňkové ústní části.

BEZPEČNOST IS. Ukončení předmětu: Předmět je zakončen zkouškou sestávající z písemné a doplňkové ústní části. BEZPEČNOST IS Předmět Bezpečnost IS je zaměřen na bezpečnostní aspekty informačních systémů a na zkoumání základních prvků vytváření podnikového bezpečnostního programu. Má představit studentům hlavní

Více

AUDITOR EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.9/2007

AUDITOR EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.9/2007 Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 AUDITOR EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ

Více

Jak být online a ušetřit? Ing. Ondřej Helar

Jak být online a ušetřit? Ing. Ondřej Helar Jak být online a ušetřit? Ing. Ondřej Helar Obsah Co znamená být online ve škole? Rizika online přístupu Skryté náklady na straně školy Jak snížit rizika a náklady? Koncepce SaaS (Software as a Service)

Více

Zpráva z auditu. Kasárenská 4 69501 Hodonín CZ 0124/11. Typ auditu. Recertifikační audit 16.9.2014. Vedoucí Auditor. Jan Fabiánek.

Zpráva z auditu. Kasárenská 4 69501 Hodonín CZ 0124/11. Typ auditu. Recertifikační audit 16.9.2014. Vedoucí Auditor. Jan Fabiánek. Zpráva z auditu Firemní ES&H servis s.r.o. Kasárenská 4 69501 Hodonín CZ 0124/11 Typ auditu Recertifikační audit 16.9.2014 Vedoucí Auditor Jan Fabiánek Auditor Vladimír Pojer Certifikace podle ČSN EN ISO

Více

Bezpečnostní politika společnosti synlab czech s.r.o.

Bezpečnostní politika společnosti synlab czech s.r.o. Bezpečnostní politika společnosti synlab czech s.r.o. Platnost dokumentu: 1. března 2016 Datum vypracování: 2. února 2016 Datum schválení: 29. února 2016 Vypracoval: Schválil: Bc. Adéla Wosková, Ing. Jaroslav

Více

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi 2011 6. října 2011 r

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi 2011 6. října 2011 r ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI Ing. Jiřina Petříková Informační technologie pro praxi 2011 6. října 2011 r Bezpečnost informací Zvyšuje se cena informací v oblasti soukromého podnikání i státní

Více

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva? Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva? Ing. Jiří Sedláček Chief of Security Experts jiri.sedlacek@nsmcluster.com Kybernetická bezpečnost III Kdo jsme Kooperační odvětvové

Více

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM Petr Dolejší Senior Solution Consultant OCHRANA KLÍČŮ A ZOKB Hlavní termín kryptografické prostředky Vyhláška 316/2014Sb. o kybernetické bezpečnosti zmiňuje: v 17 nástroj

Více

Technická specifikace předmětu plnění:

Technická specifikace předmětu plnění: Technická specifikace předmětu plnění: Poskytnutí standardní služby Premier Support zahrnující konzultační a implementační podporu, řešení problémů u produktů v nepřetržitém režimu 24x7 v rámci aktuálního

Více

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní aspekty informačních a komunikačních systémů PS2-1 1 Literatura Doseděl T.: Počítačová bezpečnost a ochrana dat, Computer Press, 2004 Časopis

Více

Prokázání schopnosti procesů dosahovat plánované výsledky

Prokázání schopnosti procesů dosahovat plánované výsledky Validace procesů sterilizace přednášející: Ing. Lenka Žďárská Validace Prokázání schopnosti procesů dosahovat plánované výsledky zejména tam, kde není možné následným měřením nebo monitorováním produktu

Více

Outsourcing v podmínkách Statutárního města Ostravy

Outsourcing v podmínkách Statutárního města Ostravy Outsourcing v podmínkách Statutárního města Ostravy Říjen 2009 Ing. Stanislav Richtar Ředitel společnosti 1 OBSAH PREZENTACE 1. Outsourcing - obecně 2. Výchozí stav projektu 3. Model poskytovaných služeb

Více

Cloud pro utajované informace. OIB BO MV 2012, Karel Šiman

Cloud pro utajované informace. OIB BO MV 2012, Karel Šiman Cloud pro utajované informace OIB BO MV 2012, Karel Šiman Utajované informace (UI) Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti Vyhláška č. 523/2005 Sb., o bezpečnosti

Více

Metodický dohled - jak správně ošetřit požadavky legislativy ICT projektu Jan Heisler, Relsie, spol. s r.o.

Metodický dohled - jak správně ošetřit požadavky legislativy ICT projektu Jan Heisler, Relsie, spol. s r.o. Metodický dohled - jak správně ošetřit požadavky legislativy ICT projektu Jan Heisler, Relsie, spol. s r.o. http://www.relsie.cz/ Současný stav projektů v ICT Procesy dohled řízení Legislativa národní

Více

Nástroje IT manažera

Nástroje IT manažera Obsah Nástroje IT manažera Školení uživatelů Ochrana osobních údajů Bezpečnostní politika Software a právo Legální software Management jakosti Výběr a řízení dodavatelů Pracovněprávní minimum manažerů

Více

ISVS v cloudu? ANO! Ing. Václav Koudele, Ing. Zdeněk Jiříček

ISVS v cloudu? ANO! Ing. Václav Koudele, Ing. Zdeněk Jiříček ISVS v cloudu? ANO! Ing. Václav Koudele, Ing. Zdeněk Jiříček O čem budeme hovořit. Cloud a sdílené služby pro malé úřady Cloud a sdílené služby pro střední a velké úřady ISVS v cloudu Příklady ISVS v cloudu

Více

OCTAVE ÚVOD DO METODIKY OCTAVE

OCTAVE ÚVOD DO METODIKY OCTAVE OCTAVE ÚVOD DO METODIKY OCTAVE Velká závislost organizací na informačních systémech s sebou přináší také nemalé požadavky na zabezpečení zpracovávaných a uložených informací. Důvěrnost, dostupnost a integrita

Více

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe Ing. Aleš Špidla Ředitel odboru bezpečnostní politiky MPSV Člen rady Českého institutu manažerů informační bezpečnosti Ales.spidla@mpsv.cz,

Více

Mobilní aplikace ve světě ERP. Asseco Solutions, a.s. a Simac Technik ČR, a.s.

Mobilní aplikace ve světě ERP. Asseco Solutions, a.s. a Simac Technik ČR, a.s. Mobilní aplikace ve světě ERP Michal Hanko Petr Kolda Asseco Solutions, a.s. a Simac Technik ČR, a.s. Skupina Asseco Solutions Asseco Solutions je průkopníkem a vizionářem na poli informačních systémů

Více

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004 CobiT Control Objectives for Information and related Technology Teplá u Mariánských Lázní, 6. října 2004 Agenda Základy CobiT Pojem CobiT Domény CobiT Hodnocení a metriky dle CobiT IT Governance Řízení

Více

Technologie pro budování bezpe nosti IS technická opat ení. michal.slama@opava.cz

Technologie pro budování bezpe nosti IS technická opat ení. michal.slama@opava.cz Technologie pro budování bezpe nosti IS technická opat ení michal.slama@opava.cz Obsah Úvod bezpe nost IS Analýza dopad (BIA) Analýza rizik Bezpe nost Informa ních systém Ochrana informa ních aktiv v organizaci

Více

Systémy řízení EMS/QMS/SMS

Systémy řízení EMS/QMS/SMS Systémy řízení EMS/QMS/SMS Ústí nad Labem 10/2014 Ing. Jaromír Vachta Systém řízení EMS Systém environmentálního managementu Systém řízení podle ČSN EN ISO 14001:2004 Podstata EMS - detailní informace

Více

BEZPEČNOST INFORMAČNÍCH SYSTÉMŮ

BEZPEČNOST INFORMAČNÍCH SYSTÉMŮ ISSR Znalostní softwarová aplikace management incidentů rizik interní audity - postupy analýza rizik databáze IS, oprávněných osob víceúrovňový přístup, vzory bezpečnostní dokumentace jednoduché intuitivní

Více

Management bezpečnosti informací dle ISO 27001:2006. Zkušenosti se zaváděním ve společnosti SYSCOM SOFTWARE s.r.o.

Management bezpečnosti informací dle ISO 27001:2006. Zkušenosti se zaváděním ve společnosti SYSCOM SOFTWARE s.r.o. Management bezpečnosti informací dle ISO 27001:2006 Zkušenosti se zaváděním ve společnosti SYSCOM SOFTWARE s.r.o. ENVIRO 15.4.2010 Ing. Jaroslav Březina 1 O autorovi Ing. Jaroslav Březina Pracuje ve společnosti

Více

Systém řízení informační bezpečnosti Information security management systém

Systém řízení informační bezpečnosti Information security management systém Systém řízení informační bezpečnosti Information security management systém Luděk Novák, Josef Požár 1 1. Úvod Na informační bezpečnost se dá nahlížet z různých úhlů a obecně tento pojem zahrnuje celou

Více

ISO 9001 a ISO 13485 aplikace na pracovištích sterilizace stručný přehled. Ing. Lenka Žďárská

ISO 9001 a ISO 13485 aplikace na pracovištích sterilizace stručný přehled. Ing. Lenka Žďárská ISO 9001 a ISO 13485 aplikace na pracovištích sterilizace stručný přehled Ing. Lenka Žďárská Proč systém kvality? Vyhláška 306/2012 Sb., příloha IV, článek IV.I., odstavec 2 Pro sterilizování zdravotnických

Více

Koncepce informační bezpečnosti

Koncepce informační bezpečnosti Koncepce informační bezpečnosti Bezpečnost informačních systémů Luděk Mandok CISA, CRISC Program Znáte povinnosti spojené s plněním zákonných požadavků? Víte, jak vyhovět zákonným požadavkům na ochranu

Více

Tomáš Kantůrek. IT Evangelist, Microsoft

Tomáš Kantůrek. IT Evangelist, Microsoft Tomáš Kantůrek IT Evangelist, Microsoft Správa a zabezpečení PC kdekoliv Jednoduchá webová konzole pro správu Správa mobilních pracovníků To nejlepší z Windows Windows7 Enterprise a další nástroje Cena

Více

Obsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení...11. Kapitola 2 Filtrování paketů...27

Obsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení...11. Kapitola 2 Filtrování paketů...27 Obsah Část I Základy bezpečnosti..............9 Kapitola 1 Základy obvodového zabezpečení.................11 Důležité pojmy...12 Hloubková obrana...15 Případová studie hloubkové obrany...25 Shrnutí...26

Více

Vnitřní kontrolní systém a jeho audit

Vnitřní kontrolní systém a jeho audit Vnitřní kontrolní systém a jeho audit 7. SETKÁNÍ AUDITORŮ PRŮMYSLU 11. 5. 2012 Vlastimil Červený, CIA, CISA Agenda Požadavky na VŘKS dle metodik a standardů Definice VŘKS dle rámce COSO Role interního

Více

Rozdíly mezi normou ISO 9001:2008 a ISO 9001:2015.

Rozdíly mezi normou ISO 9001:2008 a ISO 9001:2015. Rozdíly mezi normou ISO 9001:2008 a ISO 9001:2015. 1. Struktura Nová norma obsahuje 10 hlavních ustanovení: 1. OBLAST PLATNOSTI Kdy/proč by organizace měla použít tuto normu? 2. NORMATIVNÍ DOKUMENTY Prázdný

Více

Bezpečnost intranetových aplikací

Bezpečnost intranetových aplikací Bezpečnost intranetových aplikací Karel Miko (miko@dcit.cz) DCIT, s.r.o. (www.dcit.cz) Hlavní body prezentace Obsah příspěvku Fakta: historie a současnost Bezpečnost uvnitř podniku Kde jsou slabá místa

Více

Hardening ICT platforem: teorie nebo praxe. Pavel Hejduk ČEZ ICT Services, a. s.

Hardening ICT platforem: teorie nebo praxe. Pavel Hejduk ČEZ ICT Services, a. s. Hardening ICT platforem: teorie nebo praxe Pavel Hejduk ČEZ ICT Services, a. s. Agenda ICT prostředí ČEZ ICT Services a. s. Hardening ICT platforem - definice Obvyklý přístup a jeho omezení zhodnocení

Více

Správa stanic a uživatelského desktopu

Správa stanic a uživatelského desktopu Správa stanic a uživatelského desktopu Petr Řehoř, S.ICZ a.s. 2014 1 Správa stanic v rámci DVZ Slouží pro Zajištění opakovatelné výsledné konfigurace nových a reinstalovaných stanic Převod uživatelských

Více

ABC s.r.o. Výtisk číslo: PŘÍRUČKA ENVIRONMENTU. Zpracoval: Ověřil: Schválil: Č.revize: Počet příloh: Účinnost od:

ABC s.r.o. Výtisk číslo: PŘÍRUČKA ENVIRONMENTU. Zpracoval: Ověřil: Schválil: Č.revize: Počet příloh: Účinnost od: ABC s.r.o. PŘÍRUČKA EMS Výtisk číslo: Zpracoval: Ověřil: Schválil: Tento dokument je duševním vlastnictvím společnosti ABC s.r.o. Rozmnožování a předávání třetí straně bez souhlasu jejího jednatele není

Více

Bezpečnostní politika informací v ČSSZ

Bezpečnostní politika informací v ČSSZ Č. j.: 11 1700 2.6.2006/1641 Praze dne 9.6.2006 SMĚRNICE ŘEDITELE ODBORU BEZPEČNOSTNÍ POLITIKY č. 11/2006 Bezpečnostní politika informací v ČSSZ O B S A H : Čl. 1 Úvodní ustanovení Čl. 2 Cíle a zásady

Více

Rizika na liberalizovaném trhu s elektřinou

Rizika na liberalizovaném trhu s elektřinou Rizika na liberalizovaném trhu s elektřinou Fórum užívateľov prenosovej sústavy, Košice 27. a 28.3.2003 Tento dokument je určen výhradně pro potřebu klienta. Žádná jeho část nesmí být zveřejněna, citována

Více

1.05 Informační systémy a technologie

1.05 Informační systémy a technologie Vypracoval Gestor Schválil Listů Příloh D. Marek(EOS/2) EOS VS 5 Směrnice platí pro všechny závody ŠKODA AUTO. Obsah: 1. Použité pojmy a zkratky 2. Plánování IT 3. Pořízení IT 4. Dodání IT 5. Provoz a

Více

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu 22 let zkušeností komplexní řešení & dlouhodobý provoz nepřetržité dohledové centrum procesy, role & kompetence zkušení, certifikovaní odborníci

Více

Technologický seminář Simac Technik ČR, a.s. Praha, 21.4. 2010

Technologický seminář Simac Technik ČR, a.s. Praha, 21.4. 2010 Technologický seminář Simac Technik ČR, a.s. Praha, 21.4. 2010 Petr Kolda Petr.kolda@simac.cz 1 Program 9.00 Představení společnosti Simac TECHINIK ČR a.s. 9.15 Unified Fabric konsolidace sítí v datových

Více

Podmínky pro naplňování principů 3E při přípravě a zadávání veřejných zakázek v ČR

Podmínky pro naplňování principů 3E při přípravě a zadávání veřejných zakázek v ČR Nová etapa v zadávání veřejných zakázek revoluce v roce 2016, aneb taky co nového v elektronizaci přezkumu a auditu Podmínky pro naplňování principů 3E při přípravě a zadávání veřejných zakázek v ČR Martin

Více

2.přednáška. Informační bezpečnost: Systém řízení informační bezpečnosti (ISMS)

2.přednáška. Informační bezpečnost: Systém řízení informační bezpečnosti (ISMS) Systém řízení informační bezpečností: Úvod RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost,

Více

Expresní analýza PLM. jako efektivní start implementace PLM. www.technodat.cz. jindrich.vitu@technodat.cz

Expresní analýza PLM. jako efektivní start implementace PLM. www.technodat.cz. jindrich.vitu@technodat.cz jako efektivní start implementace PLM www.technodat.cz jindrich.vitu@technodat.cz 1 úvod: definice, cíl a výstup analýzy 2 etapy expresní analýzy PLM 3 sběr dat a podkladů a jejich analýza 4 dokument Expresní

Více