BEZPEČNOST ICT. Marek Chlup

Rozměr: px
Začít zobrazení ze stránky:

Download "BEZPEČNOST ICT. Marek Chlup"

Transkript

1 BEZPEČNOST ICT Marek Chlup

2 Obsah Předmluva Zavedení systému řízení bezpečnosti ISMS Zavedení systému řízení bezpečnosti ISMS Model PDCA ISMS - ohodnocení aktiv Analýza rizik Analýza rizik - postupy Hrozby? A co s nimi? ISMS Dokumentace ISMS nebo ITIL? ISMS - nejčastější chyby ISMS Business Impact Analysis ISMS školení...40 Doslov

3 Předmluva Vážení čtenáři, do rukou se vám dostává publikace o bezpečnosti informačních a komunikačních technologií. Motivací pro vznik tohoto díla byla snaha přinést ucelené informace týkající se oblasti zásadní pro úspěšné fungování každé organizace. Ať už implementujete informační bezpečnost pomocí interních zdrojů, za spolupráce s externí firmou či bezpečnost IS zcela outsourcujete, publikace vám podá pomocnou ruku při orientaci v této problematice. Na oblast informační bezpečnosti budeme nahlížet z různých úhlů pohledu. Získáte přehled o normách upravujících informační bezpečnost, seznámíte se s postupy zavádění bezpečnosti, budete upozorněni na možné nástrahy a rizika při implementaci, obeznámíte se s dokumentací potřebnou k nastavení funkční bezpečnostní politiky a nakonec se dozvíte o důležitosti šíření povědomí o bezpečnosti IS v rámci firmy. Touto publikací jsme dále chtěli zdůraznit, že pro efektivní fungování informační bezpečnosti je velmi důležité, aby nebyla pouze jednorázovou aktivitou, ale kontinuálním procesem. Nyní se už v klidu začtěte do následujících řádků 3

4 1. Zavedení systému řízení bezpečnosti ISMS Bezpečnost ICT. Snad nejfrekventovanější termín všech rozhovorů o IT současnosti. Nejdříve si tedy upřesníme pojem bezpečnost IT: Pod pojmem bezpečnost IT obvykle rozumíme ochranu odpovídajících IS a informací, které jsou v nich uchovávány, zpracovávány a přenášeny. Součástí takto obecně chápané bezpečnosti IT je i komunikační bezpečnost, tj. ochrana informace přenášené mezi počítači, fyzická bezpečnost, tj. ochrana před přírodními hrozbami a fyzickými útočníky a personální bezpečnost, tj. ochrana před vnitřními útočníky. Bezpečnost? Nelze jistě zpochybnit, že je to problém palčivý a urgentní. Před deseti lety jsme řešili problém, jak postavit síť nebo jak rozchodit informační systém. Bezpečnost byla velmi často jen překážka k rychlému dosažení cíle. Mnoha firmám se tento přístup však krutě nevyplatil. Proč se tento názor mění? Je to dáno mnoha faktory. Ten nejdůležitější je uvědomění si, že ICT znamená pro primární business společnosti naprosto nepostradatelnou složku. Nedostupnost systému bude mít za následek ochrnutí společnosti a její možný zánik. Dnes máme nepřeberné množství různých ochranných a obranných nástrojů. Jsou to softwarové a hardwarové nástroje. Třetí v řadě jsou bezpečnostní standardy. Bohužel všechny tři výše uvedené nástroje málokde stojí na stejné úrovní. Podle studie PSIB SR 04 1 byly uvedeny jako nejrozšířenější příčiny bezpečnostních incidentů výpadek proudu, počítačový virus a porucha hardware. O rok později podobné výzkumy ukazují, že největším rizikem se stávají vlastní zaměstnanci. Jedním z nejúčinnějších opatření proti vnitřnímu nepříteli ve firmě, je nasazení jasných a přesných bezpečnostních standardů. Je samozřejmě možné, vytvořit si strukturu takových standardů podomácky. Je to ovšem řešení s tím rizikem, že tvůrce může opomenout důležitý segment celkové bezpečnosti. Mnohem rozumnější je vzít si k ruce standardy již existující a ověřené. A právě o těchto standardech, jejich filozofii a způsobech nasazení bude tato publikace. Normy Celosvětově uznávaných standardů určených k zavedení systému řízení bezpečnosti není mnoho. Ten nejrozšířenější se celým názvem jmenuje ISO/IEC Information Security Management Systems (dále jen ISMS). Do češtiny je překládán jako systém pro řízení bezpečnosti informací. Tato norma ve své preambuli definuje svůj účel: 1 PSIB SR 04 Prieskum stavu informačnej bezpečnosti v SR 2004, KPMG Slovensko, DSM, NBÚ SR 4

5 Tato mezinárodní norma byla připravena proto, aby poskytla podporu pro ustavení, zavedení, provozování, monitorování, udržování a zlepšování systému řízení bezpečnosti informací (Information Security Management Systems nebo ISMS 2 ). Všimněte si pečlivě, k čemu norma slouží podporu pro ustavení, zavedení, provozování, monitorování, udržování a zlepšování. Ano, to jsou ty hlavní pojmy při zavádění bezpečnosti. Staré pravidlo říká, že bezpečnost nelze jen zavést, ale je třeba ji dále rozvíjet a zlepšovat. A právě toto nám ISMS nejen umožňuje, ale přímo to od nás vyžaduje. Další existující normy a metodiky zde jen zmíníme, neboť jejich podrobný popis by vydal na celou knihu. Vážený čtenář si v případě zájmu jistě obstará informace, případně nechť se obrátí na autora. BS Britský standard pro informační bezpečnost, BS 7799, uvedly v roce 1995 v život přední ekonomické organizace. Vznikl tak efektivní nástroj k hodnocení systémů řízení informační bezpečnosti (ISMS), který se rychle rozšířil po celém světě a dnes je k dostání ve více než 11 jazycích. V roce 1998 byla norma přizpůsobena požadavkům nových trendů, jako je e-commerce, a v roce 2000 schválena jako standard ISO. V roce 2005 byl uveden v platnost nejnovější standard, zahrnující ty nejaktuálnější poznatky z oblasti komplexní informační bezpečnosti - ISO 27001, který je postaven na základech BS 7799/ISO Norma sestává ze dvou částí: Příručka k řízení informační bezpečnosti a Specifikace pro ISMS. V současné době je plně nahrazena normou ISO/IEC ISMS. ISO/IEC Norma ISO (známá také pod označením BS 15000) je nový standard, který se speciálně vztahuje k managementu služeb IT a zaměřuje na zlepšování kvality, zvyšování efektivity a snížení nákladů u IT procesů. ISO 20000, které vzešlo ze standardu BS 15000, popisuje integrovanou sadu procesů řízení pro poskytování služeb IT. Svojí filozofií a obsahem se řídí úspěšnými ustanoveními IT Infrastructure Library (ITIL). Není to však ITIL, jak je často a mylně uváděno. ITIL není standard ani metodika. ITIL Information Technology Infrastructure Library (zkratka ITIL) je rámec přístupů k zajištění dodávky kvalitních IT služeb za přiměřených nákladů, který vychází z nejlepších praktických zkušeností. Knihovnu spravuje organizace Office of Government Commerce a je šířena formou knih, CD, školení, konzultací a certifikací. ITIL je v současnosti již de-facto mezinárodním standardem pro oblast řízení IT služeb. 3 2 ISO/IEC Information Security Management Systems 3 5

6 Knihovna ITIL je rozdělena do několika částí, zaměřených na specifickou oblast řízení IT služeb, které odpovídají klíčovým procesům v IT oddělení a vzájemně se prolínají. Dodávka IT služeb (IT Service Delivery) a Podpora IT služeb (IT service Support) se běžně dohromady označují jako IT Service Management (ITSM). 4 ČSN ISO/IEC TR Sada technických zpráv, které jsou zaměřeny na jednotlivé kroky z hlediska zavádění bezpečnosti IT. Zde je jejich stručný popis: ČSN ISO/IEC TR Information technology -- Guidelines for the management of IT Security -- Part 1: Concepts and models for IT Security Informační technologie - Směrnice pro řízení bezpečnosti IT - Část 1: Pojetí a modely bezpečnosti IT ČSN ISO/IEC TR Information technology -- Guidelines for the management of IT Security -- Part 2: Managing and planning IT Security Informační technologie - Směrnice pro řízení bezpečnosti IT - Část 2: Řízení a plánování bezpečnosti IT ČSN ISO/IEC TR Information technology -- Guidelines for the management of IT Security -- Part 3: Techniques for the management of IT Security Informační technologie - Směrnice pro řízení bezpečnosti IT - Část 3: Techniky pro řízení bezpečnosti IT ČSN ISO/IEC TR Information technology -- Guidelines for the management of IT Security -- Part 4: Selection of safeguards Informační technologie - Směrnice pro řízení bezpečnosti IT - Část 4: Výběr ochranných opatření ISO/IEC TR Information technology -- Guidelines for the management of IT Security -- Part 5: Management guidance on network security Tyto technické zprávy jsou v případě zavádění systému řízení bezpečnosti nezbytným doplňkem a inspiračním materiálem. Některé techniky, které budeme v našem seriálu podrobně rozebírat (ohodnocení aktiv, analýza rizik) přímo vycházejí z těchto norem. Vyčerpávající seznam všech dostupných norem, které se zabývají bezpečností IT, naleznete na těchto www stránkách: ch~e_byznys~ceska_normalizace~bezpecnosti_it?open 4 6

7 2. Zavedení systému řízení bezpečnosti ISMS Model PDCA V první kapitole jsme si ve stručnosti popsali, co je bezpečnost IT a jaký je vztah některých ISO norem k ní. V druhé kapitole se budeme věnovat podrobnému popisu normy ISO/IEC ISMS. Hlavní myšlenku celé normy Vám prozradím již nyní informační bezpečnost musí být řízena a je lhostejno, zda se jedná o firmu s 30 nebo s 3000 zaměstnanci. Rozdílné budou pouze časové lhůty a množství práce. Systém řízení bezpečnosti informací je jeden. Rozdílné mohou být výklady jednotlivých doporučení a postupy, jak cíle dosáhnout. Principem celého ISMS je tzv. PDCA model (Demingův model), který je zobrazen na obrázku č.1. Obrázek 1: PDCA model ISMS Tento model zavádí kontinuální systém řízení bezpečnosti informací v organizaci. Jeho jednotlivé kroky, tedy Plan Do Check - Act (plánuj, dělej, kontroluj a jednej) zaručují, že zavedení systému nebude jen jednorázovou aktivitou, ale neustálým koloběhem. Norma jasně popisuje, postup při zavádění ISMS a taxativně nařizuje, jakých cílů a bezpečnostních opatření musí být dosaženo. Tato část se nazývá Příloha A 5 a je alfou a omegou při zavádění ISMS. V následujících odstavcích se pokusím popsat základní čtyři kroky při nasazení ISMS. 5 ISO/IEC 27001:2002 Information Security Management Systems 7

8 Kdo byl Edwards Deming? Většina modelů zlepšování procesů je založena na postupu, který zavedl W. Edwards Deming. Americký průkopník na poli managementu, který se proslavil po II. světové válce svojí činností v Japonsku, které pomohl hospodářsky postavit na nohy. Deming zavedl kroužky kvality složené ze samořízených týmů, které učil filozofii TQM a kontinuálního zlepšování (kaizen). Úspěchy japonské konkurence na světových trzích podnítily v 80. letech 20. století zájem západních průmyslníků o tyto metody. Součástí kontinuálního zlepšování je právě PDCA model, který byl převzat do mnoha odvětví. ISMS - krok první Říká se, že všechny začátky jsou těžké. V případě implementace ISMS to platí dvojnásob, neboť jako první krok je nutné získat souhlas vedení společnosti s nasazením systému. Norma tento souhlas požaduje a z hlediska praktického, musí být zavádění ISMS prováděno směrem od vrchu dolů. Možná se Vám bude zdát, že získání souhlasu od managementu společnosti je poměrně snadnou záležitostí. Opak je pravdou. Management se tímto dokumentem zavazuje, že bude zavádění ISMS podporovat, což v praxi znamená, že to společnost bude stát v nejlepším případě lidské zdroje a téměř vždy i finance. Budete-li navíc ISMS nechávat certifikovat, bude to první dokument, který auditoři vyžadují. Tento dokument nemusí být rozsáhlý, ale musí pregnantně vyjadřovat ochotu a vůli společnosti, podřídit se systému ISMS. Bez tohoto dokumentu není možno nasazení systému řízení bezpečnosti uskutečnit. ISMS - krok druhý V okamžiku, kdy získáme souhlas od vedení společnosti, který nám umožňuje implementaci ISMS, máme vytvořený implementační tým a můžeme tedy přikročit k druhému, kritickému kroku. Tento spočívá v provedení identifikace aktiv, jejich ocenění a vypracování celkové analýzy rizik. Identifikace a ocenění aktiv je v podstatě činnost, při které společnost provede inventuru svých aktiv, což mohou být jak věci hmotné (např. výpočetní technika), tak věci nehmotné (data, znalosti, značka, apod.). Když jsou aktiva identifikována, je třeba ohodnotit je z hlediska integrity, dostupnosti a důvěrnosti. Nejlépe se tak činí na základě vlastního algoritmu, který určí hodnotu jednotlivých aktiv. Druhou částí je proces, který se nazývá analýza rizik a jeho provedení je popsáno například v normě ISO/IEC Je třeba si uvědomit, že analýza rizik je dokument, na němž se staví celý systém bezpečnosti informací. Jeho důležitost je tedy vysoká. Nebudete-li tento dokument mít dobře zpracován, je celý systém ISMS nefunkční a přivodí Vám obrovské problémy. Všechny tyto kroky budou podrobně popsány na následujících stránkách. 6 ISO/IEC TR Information Technology, Guidelines for the management of IT security Part 3:Techniques for the management of IT Security. 8

9 ISMS - krok třetí Na analýzu rizik přímo navazuje dokument, který se jmenuje Návrh protiopatření. Popisuje, jak bude společnost reagovat na nalezená kritická místa. Ve stručné a jasné podobě popisuje, jak by měl vypadat cílový stav, jak ho společnost dosáhne, termín splnění a případné finanční nároky. Tento dokument je vedle analýzy rizik stěžejním dokumentem a budete-li certifikováni, auditoři jej budou velmi pečlivě studovat. Je vhodné, nechat si raději více času na jeho tvorbu a případnou diskusi s managementem. Nezapomínejte, že management, všechny dokumenty musí schválit, včetně finančních prostředků. Druhou variantou, jak lze na případná rizika reagovat, je tzv. institut akceptace rizika. Využívá se v případě, že nápravné opatření je například extrémně drahé a míra rizika velmi nízká. Obecně se doporučuje této možnosti využívat v minimální míře. Nyní máme téměř všechny dokumenty pohromadě a zbývá závěrečný souhrn, který patří k časově nejnáročnějším. Norma taxativně nařizuje, že společnost musí vytvořit dokument prohlášení o aplikovatelnosti. Vzpomínáte ještě na tzv. přílohu A normy, kde jsou popsány všechny náležitosti nutné pro zavedení ISMS? Zde je třeba krok za krokem doložit, které části ISMS a jak jsou zavedené. Nechejte si na vytvoření souladu dostatek času, teprve nyní můžete udělat konečné účtování a připravit se na certifikaci. ISMS - krok čtvrtý Krok čtvrtý je z hlediska zavedení ISMS nepovinný. Rozhodnete-li se, že budete ISMS implementovat, neznamená to, že si jej musíte nechat certifikovat. Celý systém může fungovat i bez certifikace, ale je samozřejmě výhodnější projít certifikací. Skládá se ze dvou částí. V první je certifikována 7 povinná dokumentace, ve druhé je kontrolováno praktické zavádění ISMS. Ti z Vás, kdo prošli certifikací například na ISO 9001, mají výhodu, neboť oba systémy jsou kompatibilní a vědí tedy, jak certifikace probíhá. Synergii ISMS a ostatních norem ISO bude věnována samostatná kapitola této publikace. Na závěr seznam nezbytných dokumentů v případě nasazení ISMS: A. Rozsah a hranice ISMS B. Politika ISMS C. Definice a popis přístupu k hodnocení rizik D. Identifikace rizik E. Analýza a vyhodnocení rizik F. Identifikace a varianty pro zvládání rizik G. Cíle opatření a bezpečnostní opatření pro zvládání rizik (viz příloha A) H. Akceptace rizik I. Získání povolení k provozování ISMS v rámci organizace J. Prohlášení o aplikovatelnosti 7 ISO/IEC 17799:2005 Information technology Security Techniques Code of practice for information security management (Informační technologie Bezpečnostní techniky Soubor postupů pro řízení bezpečnosti informací) 9

10 Neobávejte se pořizování velkého množství dokumentů. Některé z výše uvedených jsou jednostránkové deklarace (Politika ISMS), ostatní je možné spojovat. Standardní počet vedené dokumentace ISMS je 5 dokumentů, které je třeba revidovat v souladu s PDCA modelem. 10

11 3. ISMS - ohodnocení aktiv Abychom mohli hodnotit a analyzovat, je nutné danou entitu nejdříve popsat a identifikovat. Identifikace a ohodnocení aktiv organizace je základní krok v celkovém procesu analýzy rizik. Vlastní proces ohodnocení aktiv si každá organizace může nastavit sama podle svých potřeb. Pokud neví jak, základní popis nabízí norma ČSN ISO/IEC TR V této kapitole bude vysvětleno, jak by identifikace a ohodnocení aktiv měli probíhat. Identifikace aktiv Aby organizace mohla provést ohodnocení svých aktiv, musí je nejprve identifikovat. V této etapě se doporučuje seskupit všechna aktiva, která k sobě logicky patří. Například programová aktiva, bezpečnostní aktiva, obchodní aktiva, služby apod. Vždy je nutné identifikovat vlastníka každého daného aktiva. Vlastníkem aktiva rozumíme přímo pověřenou osobu, plně odpovědnou za toto aktivum. S tímto vlastníkem posléze určujeme konkrétní hodnotu aktiva. Aktivum je komponenta nebo určitá část celého systému, které organizace přikládá jistou hodnotu, a pro kterou je třeba mít nastavený způsob ochrany. Je důležité uvědomit si, že aktivum vůbec nemusí být tvořeno hardwarem nebo softwarem. Mezi nejdůležitější aktiva řadíme: o informace data (klasicky zákaznický systém) o hardware (PC, tiskárna, notebook) o software (aplikace apod.) o komunikační zařízení (sítě, telefony, modemy) o dokumenty (smlouvy, zápisy apod.) o personál (know how) o image organizace Jistě se nejedná o zcela vyčerpávající seznam. Ve výrobní firmě to mohou být například vyrobené součástky, v obchodě peníze apod. Bohužel praxe je taková, že všechna aktiva mimo hardware a software bývají hrubě podceňována. Zvláště markantní je podcenění papírových dokumentů, kterých je v každé organizaci mnoho. Obvykle jsou uloženy v nechráněných prostorách s volným přístupem. Často se jedná o strategické dokumenty (porady vedení, obchodní jednání, smlouvy, agenda personálního charakteru apod.). Nástroje K hodnocení aktiv je vhodné využít softwarový nástroj. Existují specializované programy například CRAMM metodika. Případně je možné vytvořit si základní tabulky pro výpočet ohodnocení aktiv v programu MS Excel nebo v jiném tabulkovém editoru. Ohodnocení aktiv Dalším logickým krokem je stanovit stupnici a hodnotící kritéria, která budou použita k přiřazování ohodnocení určitého aktiva. Tato stupnice může být vyjádřena penězi nebo 11

12 kvalitativními hodnotami. Je na zvážení organizace a výskytu konkrétních aktiv, kterou z variant zvolí. Možné je také obě varianty kombinovat. Stupnice peněžní bude vyjadřovat v místní měně hodnotu určitého aktiva. Stupnice kvalitativní vyjadřuje hodnotu v termínech například od velmi nízké až po kritickou. Typické termíny používané pro kvalitativní hodnocení jsou: 1 Žádný dopad na organizaci 2 Zanedbatelný dopad na organizaci 3 Potíže či finanční ztráty 4 Vážné potíže či podstatné finanční ztráty 5 Může znamenat existenční potíže organizace Důležité je také barevné odlišení. Máme-li mít rozsáhlé tabulky s hodnocením aktiv, pomohou vhodně zvolené barvy k jednodušší orientaci. Výběr a rozsah termínů, které si organizace zvolí, závisí na bezpečnostních potřebách organizace, její velikosti apod. Má-li organizace zaveden systém řízení kvality (ISO 9001), může využít stávající model k ohodnocení aktiv. Hlavním principem při ohodnocení aktiv jsou náklady vzniklé v důsledku porušení DŮVĚRNOSTI, INTEGRITY a DOSTUPNOSTI. Tedy tyto tři kritéria poskytují podklady pro ohodnocení aktiv. Typická otázka může například znít: Jaký dopad bude mít na organizaci nedostupnost centrálního informačního systému? Odpověď: od žádný dopad na organizaci, až po existenční potíže organizace. Toto hodnocení je třeba provádět s majitelem aktiv. Protože jeho hodnocení může být subjektivně zbarveno, je vhodné provést podobné interview s některým superuživatelem daného aktiva. Tato forma křížové kontroly je důležitým faktorem upřesnění hodnoty aktiva a je doporučováno provádět ji u všech aktiv, u nichž existuje předpoklad vysoké hodnoty pro organizaci. Celá řada aktiv může mít v průběhu hodnocení přiřazeno několik hodnot. Například informační systém může být hodnocen z hlediska pořizovacích investic, z hlediska důvěrnosti a dostupnosti, z hlediska práce nutné na implementaci apod. Každá z takto definovaných hodnot se bude zcela jistě lišit. Finálně přiřazená hodnota se může rovnat maximální hodnotě ze všech uvedených, může být průměrem nebo součtem. Ať si vyberete jakýkoliv model, musíte jej pak použít pro všechny aktiva, u nichž je využita kombinovaná hodnota. Nezapomeňte, že zde stanovené hodnoty slouží jako základ pro analýzu rizik a výpočet nákladů na jejich ochranu. Výpočet hodnoty aktiva Pro výpočet ohodnocení aktiva je možno využít různé postupy. Nejjednodušším a také nejpoužívanějším je tzv. součtový algoritmus. Principem je součet: Dostupnost + Důvěrnost + Integrita / 3. (x + y + z/3). 12

13 Následuje praktická ukázka: Hodnotící škála 1-5 (viz. výše) Aktivum: Data o zákaznících Systém 1 Hodnota aktiva z hlediska Dostupnosti 5 Hodnota aktiva z hlediska Důvěrnosti 5 Hodnota aktiva z hlediska Integrity 3 Celková váha: /3 = 4 Závěr: Ztráta tohoto aktiva může pro organizaci znamenat vážné potíže či podstatné finanční ztráty. Tento součtový algoritmus poskytuje nejrychlejší způsob, jak získat hodnotu aktiva. Zároveň také odpovídá na otázku, jaký dopad pro organizaci bude mít zničení, případně poničení tohoto systému. Je vhodné při hodnocení aktiva věnovat zvýšené úsilí detailnímu popisu a pátrání, kde všude dané aktivum může být umístěno. Na příkladu, který je zde uváděn, lze provést ukázku. Aktivum, které je hodnoceno se jmenuje Data o zákaznících. Je jasné, že taková data nejsou umístěna jen na jednom místě. Takové informace se nachází v informačním systému, na síťových úložištích, na noteboocích pracovníků organizace a často také na mobilních zařízeních. Požadujeme-li tedy úplné a přesné ohodnocení aktiva data o zákaznících, je třeba ohodnotit jejich dostupnost, důvěrnost a integritu na všech lokacích, kde jsou umístěna. Dá se tedy jednoduše odvodit, že detailní ohodnocení je třeba udělat nejen pro informační systém, ale také pro síťové disky, notebooky a mobilní zařízení. Na obrázku je patrné, jak by mohla tabulka pro ohodnocení aktiv vypadat. Aktivum Zdroj Dostupnost Důvěrnost Integrita Váha Informace o zákaznících Systém Síťové disky PC a NB obchodních zástupců

14 4. Analýza rizik Tato kapitola bude věnována snad nejdůležitější části zavádění systému řízení bezpečnosti Analýze rizik. Na předcházejících stránkách jsme si vysvětlili všechny principy a náležitosti. Vysvětlili jsme postup identifikace a ohodnocení aktiv. Analýza rizika je prováděna za účelem identifikace zranitelných míst Informačního systému organizace 8. Následně zachycuje seznam hrozeb působících na IS a stanovuje rizika příslušná každému zranitelnému místu a hrozbě. Účelem takového dokumentuje snížení rizik na přijatelnou úroveň, respektive akceptaci zbytkových rizik tam, kde je jejich minimalizace neefektivní. Analýza rizik je rozdělována: o o o o Analýza rizik hrubá úroveň Analýza rizik neformální přístup Analýza rizik kombinovaný přístup Analýza rizik podrobný přístup Nejčastější průběh analýzy rizik je popsán ve směrnici ČSN ISO/IEC TR Doporučuje se použít kombinaci metod pragmatické (neformální) a detailní analýzy rizik. Nejprve je provedena počáteční analýza rizik na hrubé úrovni pro všechny systémy IT. U systémů, které budou identifikovány jako významné pro činnost organizace, případně vystavené vysokým rizikům, provádíme podrobnou analýzu rizik. Analýza rizik na hrubé úrovni Tato analýza na hrubé úrovni bere v úvahu hodnotu systému IT pro činnost organizace a zpracovávaných informací a rizika z pohledu činnosti organizace. Pro rozhodnutí jaký přístup je pro daný systém IT vhodný, bude mít význam zohlednění následujících skutečností: o jakých cílů má být použitím systému IT dosaženo o úroveň investic do tohoto systému IT (vývoj, údržba, nahrazení) o aktiva systému IT, kterým organizace přiřazuje určitou hodnotu o stupeň, v jakém činnost organizace závisí na systému IT (zda funkce, které organizace považuje pro své přežití za kritické nebo efektivní, jsou závislé na tomto systému IT) Po tomto základním rozdělení budeme vědět, které systémy jsou vhodné k nasazení základního přístupu (ty méně kritické, nákladné apod.) a ty u kterých je nutné provést podrobnou analýzu rizik. 8 BS ISO 17799:

15 Analýza rizik - neformální přístup Tato možnost představuje neformální, pragmatickou analýzu rizik. Neformální přístup není založen na strukturovaných metodách, ale využívá znalosti a zkušenosti jednotlivců. Výhodou této volby je, že nevyžaduje obvykle mnoho zdrojů nebo času. K provedení této neformální analýzy není nutné se naučit nové dodatečné dovednosti a tato analýza je provedena rychleji než podrobná analýza rizik. Existuje však také několik nevýhod. Bez určitého typu formálního přístupu nebo detailních seznamů kontrol vzrůstá pravděpodobnost opomenutí některých důležitých detailů, je obtížné obhájit implementaci ochranných opatření ve vztahu k rizikům odhadnutým tímto způsobem. V minulosti byly některé přístupy založeny na zranitelnostech, tj. byla implementována bezpečnostní ochranná opatření založená na identifikovaných zranitelnostech, aniž by se zvažovalo, zda existovaly konkrétní hrozby, které by pravděpodobně využily tyto zranitelnosti, tj. zda vůbec existovala reálná potřeba ochranných opatření. Tímto způsobem může docházet ke zbytečnému navyšování finančních prostředků. Analýza rizik kombinovaná metoda Třetí možností je nejprve provést počáteční analýzu rizik na hrubé úrovni pro všechny systémy IT, která se soustřeďuje u každého případu na hodnotu systému IT pro činnost organizace a na vážná rizika, jimž je systém IT vystaven. U systémů IT, které jsou identifikovány jako významné pro činnost organizace a/nebo vystavené vysokým rizikům, by měla být přednostně provedena podrobná analýza rizik. Pro všechny zbývající systémy IT by měl být zvolen základní přístup. Tato volba, která je kombinací nejlepších charakteristik možností umožňuje minimalizaci času a úsilí věnovaného na identifikaci ochranných opatření, přičemž stále ještě zajišťuje, že jsou vysoká rizika systému chráněna příslušným způsobem. Podrobná Analýza rizik Podrobná analýza rizik systému IT obsahuje identifikaci souvisejících rizik, a odhad jejich velikosti. AR se provádí identifikací potenciálních nepříznivých dopadů nežádoucích událostí na činnost organizace a pravděpodobnost jejich výskytu. Pravděpodobnost výskytu bude záviset na tom, jak atraktivní jsou aktiva pro potencionálního útočníka, na pravděpodobnosti výskytu hrozeb a na snadnosti s kterou mohou být zranitelnosti využity. Podrobná Analýza rizik zahrnuje hloubkovou revizi v každém z kroků, uvedených na obr. 2. na následující straně. 15

16 Obrázek 2 Tímto dosáhneme vhodného výběru oprávněných ochranných opatření jako část procesu managementu. Požadavky na tato ochranná opatření musí být zakomponovány do bezpečnostní politiky systému IT. V následujících odstavcích jsou popsány některé kroky naznačené obrázkem 2. Stanovení hranic revize Stanovení hranic revize bude provedeno ještě před identifikací a hodnocením aktiv. Pečlivá definice hranic nám umožní vyvarovat se zbytečných činností. Jinými slovy budeme definovat, kterých prvků se bude analýza rizik týkat, například aktiva IT (HW, SW, data). 16

17 Identifikace aktiv Aktivum je komponenta nebo část celkového systému, které organizace přímo přiděluje hodnotu a pro kterou tudíž organizace požaduje ochranu. Při identifikaci aktiv vezmeme v úvahu i to, že systém IT netvoří jen HW a SW. Druhy aktiv mohou být například data, komunikační zařízení, dokumenty, zboží, personál, image firmy. Ohodnocení aktiv Ve chvíli, kdy budeme mít identifikovaná aktiva, musíme k nim přiřadit hodnoty. Tyto hodnoty reprezentují význam aktiv pro činnost organizace. Vstupní údaje pro hodnocení aktiv budou zajištěny vlastníky a uživateli aktiv, například formou dotazníku, případně pomocí interview. Hodnota aktiv nemusí být určena finančním ohodnocením, ale například z hlediska nepříznivých dopadů na činnost organizace, plynoucí ze ztráty důvěrnosti, integrity, dostupnosti, individuální odpovědnosti, autenticity a spolehlivosti. Nejčastěji bývá použita hodnotová škála 1-5, přičemž 1 znamená nízká hodnota 5 velmi vysoká hodnota. Hodnocení hrozeb Hrozba představuje možnost poškodit zkoumaný systém IT a jeho aktiva. Hrozby mohou být přírodního nebo lidského původu a mohou být úmyslné nebo náhodné. Jako základní katalog hrozeb lze využít seznam uvedený v normě ČSN ISO/IEC TR v příloze C. Hodnocení hrozeb bude dáno do souvislosti s identifikovanými aktivy společnosti. Odhad zranitelnosti Tento odhad odhalí slabá místa ve fyzickém prostředí, organizaci, postupech, personálu managementu, administraci HW, SW, nebo komunikačním zařízení, která mohou být využita jako zdroj hrozby a způsobit tak škodu na aktivech. Následnými úkony, které budou následovat se rozumí: o identifikace existujících / plánovaných ochranných opatření o odhad rizik o přijetí / nepřijetí rizik o implementace nápravných opatření 17

18 5. Analýza rizik - postupy Základní přístup Cílem základní ochrany 9 je stanovit minimální sadu ochranných opatření k ochraně všech nebo některých systémů IT. Při tomto přístupu je možné aplikovat základní ochranu na takto definovaných systémech. Odpovídající ochrany je možné dosáhnout použitím katalogů ochranných opatření, které navrhují a popisují sadu ochranných opatření k ochraně systému IT proti nejobecnějším hrozbám. Nejčastěji je použita sada ochranných opatřeních popsaná v normě ISO/IEC TR Identifikace plánovaných a existujících ochranných opatření Součástí Analýzy rizik je tzv. identifikace plánovaných nebo existujících bezpečnostních opatření. Jednoduše řečeno jedná se o to, aby existující nebo plánovaná bezpečnostní opatření byla identifikována a popsána. Vyhneme se tak zbytečné práci, zvýšeným nákladům apod., které jsou způsobeny zdvojením ochranných opatření. Často dochází i k tomu, že identifikované ochranné opatření je revidováno a je buď zcela odebráno, nebo nahrazeno opatřením vhodnějším či lépe vyhovujícím novým podmínkám bezpečnosti. Dalším významným důvodem, proč provádět revizi těchto opatření, je kontrola sladění jednotlivých řešení. Při implementaci systému řízení bezpečnosti informací dochází často k souběžné práci jednotlivých týmů. Může nastat situace, kdy jednotlivá bezpečnostní opatření, ať už existující nebo navržená si mohou vzájemně překážet. Výsledným efektem je pak místo bezpečnostního opatření bezpečnostní díra a následně bezpečnostní incident. Při identifikaci existujících ochranných opatření je vhodné provést kontrolu, jinými slovy otestovat je, zda fungují tak, jak se předpokládá, a zda nejsou v rozporu s navrhovanými bezpečnostními opatřeními. Výsledkem tohoto kroku je mimo výše zmiňovaného také seznam všech existujících a plánovaných bezpečnostních opatření. Podcenění tohoto kroku může vést k vážným bezpečnostním zranitelnostem. Výběr ochranných opatření Princip ochranných opatření spočívá ve snížení případných rizik na minimum. Aby se usnadnil popis jednotlivých typů ochranných opatření, jsou v rámci normy zavedeny kategorie ochranných opatření. Podrobně jsou popsána v normě ČSN ISO/IEC TR mezi nejdůležitější jsou řazena tzv. všeobecně aplikovatelná ochranná opatření. Jedná se o základní kategorie: o řízení a politiky bezpečnosti IT o kontrola bezpečnostní shody o řešení incidentů o personální opatření o provozní problémy o plánování kontinuity činnosti organizace o fyzická bezpečnost 9 ČSN ISO/IEC TR

19 Ochranná opatření těchto kategorií vytváří základ pro úspěšné řízení bezpečnosti IT. Doporučuje se rozhodně nepodceňovat tyto základní kategorie. Každá z těchto kategorií je dále dělena. Veškeré podrobnosti jsou popsány v normě. Při výběru ochranných opatření je neméně důležité uvažovat z pohledu velikosti organizace, a její ochrany. Je jasné, že potřeba ochrany informací bude daleko vyšší v nemocnici nebo státním úřadě než v potravinářském družstvu. Nemocnice má nejen povinnost se o data postarat, ale má také možnosti (personální, finanční) data zabezpečit. Zda se tak skutečně děje, není tématem této publikace. Důležité je, že nejpozději v tomto okamžiku, by měla být zřízena funkce bezpečnostního ředitele. Osoby nebo role, která ponese odpovědnost za zavádění systému řízení bezpečnosti a bude mít samozřejmě i příslušné pravomoci. Odhad rizik Cílem tohoto kroku je identifikovat a odhadnout rizika, kterým jsou systém IT a aktiva vystavena. Jednoduše řečeno, musíme zjistit, co nám hrozí a odkud vítr vane, tedy proč nám daná rizika hrozí. Existují různé metody vzájemného vztahu rizika a hrozeb. Nejjednodušší je stanovení si škály 1-5 od nejnižší míry rizika po nejvyšší. Pro každé riziko použijeme tuto škálu. Následně sečteme všechny hodnoty a podělíme je počtem jednotlivých rizik. Výsledná hodnota nám určuje celkovou míru rizika pro dané aktivum. Samozřejmě je možné vytvořit si metodiku vlastní, případně využít automatizované softwarové nástroje. Ať je použita jakákoliv metoda k odhadu míry rizika, výsledkem musí být seznam naměřených rizik. Nepodceňujme kvalitu vstupů! Čím přesnější vstupy budou, tím přesnější a pravděpodobnější budou odhady a výstupy. Přijetí rizik Po identifikaci a odhadu rizik, po výběru a revizi ochranných opatření, vždy zůstávají tzv. zbytková rizika. Úplně bezpečný systém je pouze teoretická hypotéza, ke které není možno se v reálném provozu přiblížit. Tato zbytková rizika mohou být rozdělena a být buď akceptována (akceptace rizika), nebo neakceptována. Je záležitostí nejvyššího managementu, kterému jsou tato zbytková rizika předložena, jak rozhodne. Jakákoliv odpovědnost nenáleží implementačnímu týmu, ale pouze nejvyššímu managementu společnosti. V praxi bohužel, často o zbytkových rizicích nerozhoduje nejvyšší management, ale informatik z pověření managementu. Jestliže riziko není akceptováno, probíhá znovu výběr ochranných opatření a odhadování rizik. Je zde vysoké riziko, že může být přijato dodatečně ochranné opatření, které je příliš nákladné nebo z hlediska bezpečnosti zbytečné. 19

20 Politika bezpečnosti systému IT Politika bezpečnosti systému IT by měla obsahovat podrobnosti požadovaných ochranných opatření a popis, proč jsou nezbytná. Mnoho systémů vyžaduje své vlastní politiky bezpečnosti, které popisují specifická a podrobná řešení. Politika bezpečnosti všechny tyto dílčí materiály zastřešuje. Je založena na výsledcích analýzy rizik a identifikace ochranných opatření. Jedná se tedy o dokument, který zajistí, že množství již existujících dílčích politik je revidováno s probíhající analýzou rizik a dáno do souladu se zaváděnými bezpečnostními pravidly. Plán bezpečnosti IT Jedná se o shrnující dokument, který stručně popisuje veškeré akce, které se musí uskutečnit, aby mohla být implementována ochranná opatření. Stručně řečeno, vše co jsme v předchozích dílech popisovali, by mělo být zahrnuto v tomto dokumentu. Je vhodné rozčlenit jej v logické posloupnosti, stejně jak byl popisován v tomto seriálu. Výsledkem by měl být podrobný plán bezpečnosti, který zohledňuje výsledky celé analýzy rizik, včetně popisu ochranných opatření, postupů, rizik apod. Měl by také popisovat časový rozvrh pro následné postupy (implementace, revize, certifikace). 20

21 6. Hrozby? A co s nimi? Co je vlastně hrozbou pro Informační systém? Víme, že aktiva jsou předmětem mnoha typů hrozeb. Hrozba má potenciální schopnost způsobit nežádoucí incident, který může mít za následek poškození systému nebo organizace a jejich aktiv. Tato škoda se může vyskytnout jako důsledek přímého nebo nepřímého útoku na informační systém. Myšlena jsou například data uložená v rámci Informačního systému nebo služby, které systém využívá. Důsledkem je například neautorizované zničení dat, jejich zpřístupnění, modifikace, deformace, nedostupnost nebo ztráta. Základní rozdělení hrozeb Hrozby mají původ buď přírodní (zemětřesení, blesk) nebo lidský (odposlech, chyba uživatele, apod.). Dále hrozby rozlišujeme na náhodné (vymazání souboru) a úmyslné (krádež). Z hlediska bezpečnosti je žádoucí, aby jak náhodné tak úmyslné hrozby byly identifikovány a měla by být odhadnuta jejich úroveň a pravděpodobnost. Otázka zní: Jaké hrozby jsou pro danou organizaci aktuální? Statistiky jsou dostupné například na Internetu (www.dsm.tate.cz ).Tato statistická data se týkající mnoha typů hrozeb okolního prostředí. Organizace by si měly tato data opatřit a použít je v procesu odhadu hrozeb. Obrázek 3 Zdroj PSIB SR '04, KPMG Slovensko, DSM data security management, NBÚ SR. 21

22 Hrozby obecně mohou ovlivnit specifické části organizace, mnoha různými způsoby. Mezi nejčastější patří například narušení serverů a následně i osobních počítačů. Samozřejmě hrozby mohou být obecné vzhledem k okolnímu prostředí určitého místa, ve kterém systém nebo organizace působí, např. poškození budov vichřicí nebo blesky. Škoda způsobená nežádoucím incidentem může být dočasné povahy nebo může být trvalá, jako je tomu v případě zničení aktiv. Tabulka 1: Rozdělení hrozeb příklad úmyslné Lidské hrozby neúmyslné Hrozby prostředí odposlech chyba uživatele blesk krádež vymazání povodeň hacking fyzická nehoda požár Posouzení hrozeb Posouzení hrozeb provádíme vždy v závislosti na následujících otázkách: o ztráta důvěrnosti může vést například ke ztrátě důvěry vůči zákazníkům, právní odpovědnosti, ohrožení osobní bezpečnosti nebo finanční ztrátě o o o o o ztráta integrity může vést například k přijetí nesprávných rozhodnutí, rozpadu funkčnosti organizace ztráta dostupnosti může vést například k neschopnosti vykonávat kritické činnosti organizace ztráta individuální odpovědnosti může vést například k podvodu, špionáži, krádeži ztráta autentičnosti může vést například k použití neplatných dat, která vedou k neplatným výsledkům ztráta spolehlivosti může vést například k nespolehlivým dodavatelům, demotivace zaměstnanců Při stanovení míry hrozeb a typů hrozeb je doporučováno využít standardní dělení, které vychází z předchozího seznamu. To znamená podívat se na každé aktivum z hlediska hrozby a dopadu například důvěrnosti. Bude znamenat hrozba selhání dodávky energie pro centrální ekonomický software znamenat ohrožení důvěrnosti dat a organizace? Standardizovaný seznam možných hrozeb pro informační systém čítá 46 položek, zde však bude uvedeno jen několik nejčastějších, včetně popisu. 22

23 Nikdy nesmíme zapomenut na tzv. následné efekty hrozby. Například výpadek elektrické energie neznamená jen nedostupnost dat, ale může vést při dlouhodobém výpadku k ohrožení činnosti organizace, případně i ohrožení fyzické integrity člověka (nemocnice, hasiči, policie). Vždy je třeba promyslet možné dopady hrozeb do nejmenších podrobností. Nejčastější hrozby Selhání dodávky energie Selhání dodávky energie může způsobit problémy z hlediska integrity a následně může způsobit i další poruch (selhání HW apod.). Selhání dodávky se samozřejmě netýká jen vlastního HW, ale také klimatizace, celého síťového prostředí, zálohování a podobně. Škodlivý software Škodlivý software může být použit ke zmaření autentizace a všech souvisejících služeb a bezpečnostních funkcí. Ve svém důsledku může vést ke ztrátě dostupnosti, jestliže jsou např. data nebo soubory zničeny osobou, která získala neautorizovaný přístup pomocí škodlivého programového kódu, nebo vlastním škodlivým programovým kódem. Selhání hardwaru Technické poruchy, např. v síti, mohou zničit dostupnost jakékoliv informace, která je uchovávána nebo zpracovávána v této síti. Mezi nejčastější příčiny selhání hardware patří například nedostatečná údržba, nejasné postupy při údržbě HW, nevhodné prostředí umístění HW (vlhkost, prach, výkyvy teploty apod.) Selhání komunikačních služeb Chyby a poruchy komunikačních zařízení a služeb ohrožují dostupnost informací přenášených prostřednictvím těchto služeb. V závislosti na příčině chyby nebo poruchy. Protiopatření vhodná k hrozbám Existují v podstatě tři aspekty, které mohou ochranná opatření postihnout, tj. dopady, hrozby, zranitelnosti. Hlavním cílem ochranných opatření jsou jednotlivé komponenty, které všechny dohromady mohou znamenat riziko, tj. dopady, hrozby a zranitelnosti. Způsoby, jakými mohou ochranná opatření řešit tyto aspekty, jsou: o hrozby ochranná opatření mohou snížit pravděpodobnost výskytu hrozby (např. zvažujeme-li hrozbu ztráty dat v důsledku chyb uživatele, potom školení uživatelů by mohlo snížit množství těchto chyb) nebo, jako v případě záměrného útoku, mohou odstrašovat útočníka zvýšením technické složitosti pro provedení úspěšného útoku, o zranitelnost ochranná opatření mohou odstranit zranitelnost nebo ji mohou učinit méně závažnou (například pokud je interní síť, připojená na vnější síť, zranitelná vzhledem k neautorizovanému přístupu, implementace vhodného firewallu by mohla učinit připojení méně zranitelným a odpojení odstraní tuto zranitelnost), nebo o dopad ochranná opatření mohou omezit nebo vyloučit dopad (pokud je negativním dopadem nedostupnost informací, je omezena vytvořením kopie informací, které jsou někde jinde spolehlivě uloženy, a existujícím plánem kontinuity činnosti organizace, 23

24 připraveným k aktivaci); je-li k dispozici dobrý systém zaznamenávání auditních záznamů, prostředky pro analýzu a upozornění mohou napomoci včasnému odhalení incidentu a omezení nepříznivého dopadu na činnost organizace. To, jak a kde je ochranné opatření použito, může být příčinou velkého rozdílu v přínosech získaných jeho implementací. Velmi často mohou hrozby využívat více než jednu zranitelnost. Jestliže je tedy použito ochranné opatření, aby zabránilo výskytu takové hrozby, může být současně vyřešeno několik zranitelností. Možný je také opačný způsob ochranné opatření chránící nějakou zranitelnost může postihnout několik hrozeb. Je-li to možné, měly by být při výběru ochranných opatření tyto přínosy zvažovány. Tyto dodatečné přínosy by měly být vždy dokumentovány, aby existoval podrobný přehled o bezpečnostních požadavcích, které ochranné opatření uspokojuje. Závěrem Obecně lze doporučit provést ohodnocení minimálně kritických systémů z hlediska hrozeb. Vedle podrobné analýzy rizik je to další exaktní ověření zabezpečení systémů a stavu bezpečnosti. Doporučuje se ohodnocení hrozeb provést vždy. Jako dobrým návodem se jeví norma ISO/IEC TR

25 7. ISMS Dokumentace V předchozích kapitolách o zavádění ISMS, byly předvedeny, vysvětleny a popsány jednotlivé postupy a principy, popisující jak, proč a kdy zavádět systém bezpečnosti informací. Byla obsažena i zmínka o povinné dokumentaci, kterou norma vyžaduje. Systém ISMS rozlišuje dva typy dokumentace povinnou a nepovinnou. Povinná dokumentace je taková, kterou norma taxativně požaduje. Nepovinná je taková, kterou norma nezmiňuje, nicméně neznamená to, že taková dokumentace je nedůležitá. Typicky jde o různou pomocnou dokumentaci, která popisuje některé konkrétní činnosti. Nyní se zaměříme na dokumentací povinnou. V okamžiku, kdy plánujete zavedení ISMS ve své organizaci, aniž byste ho certifikovali, musíte tuto povinnou dokumentaci vytvořit. Dokumentace se tedy nevytváří kvůli certifikaci, ale jako základní část PDCA systému. Hlavním úkolem dokumentace je přehledné a aktuální zaznamenání všech důležitých komponent systému. A to ve srozumitelné formě, aby kdokoliv, kdo není obeznámen s podrobnostmi systému, po prostudování dokumentace pochopil celkové nastavení systému a dílčích segmentů. Řízení dokumentů a záznamů Dokumentace a její vznik patří mezi nejméně oblíbené části systému ISMS. Obecně zde platí podobné principy jako u jiných částí ISMS. Doporučuji jmenovat pro každou část dokumentace garanta, plně odpovědného za vytvoření dokumentu. Dále je nesmírně důležité dodržovat schvalovací a verzovací principy. Jinak se může stát, že za několik dnů Vám bude po firmě běhat několik verzí jednoho dokumentu. Vzhledem k tomu, že nasazujeme systém bezpečnosti informací, tak by k takovým situacím nemělo docházet. V rámci implementace jste povinni dokumenty požadované ISMS chránit a řídit. Musí být vytvořen dokumentovaný postup tak, aby vymezil řídící činnosti potřebné ke správě dokumentace. Záznamy musí být vytvořeny a udržovány tak, aby poskytovaly důkaz o shodě s požadavky a o efektivním fungování ISMS. Záznamy musí být chráněny a řízeny. ISMS musí zohlednit všechny příslušné právní nebo regulatorní požadavky a smluvní závazky. Záznamy musí zůstat čitelné, snadno identifikovatelné a musí být možné je snadno vyhledat. Opatření potřebná k identifikaci, uložení, ochraně, vyhledání, době platnosti a uspořádání záznamů musí být dokumentována. Seznam dokumentů, které budeme potřebovat: o Rozsah a hranice ISMS o Politika ISMS o Definice a popis přístupu k hodnocení rizik o Identifikace a ohodnocení aktiv o Identifikace rizik o Analýza rizik 25

26 o Návrh protiopatření o Cíle opatření a bezpečnostní opatření pro zvládání rizik (viz příloha A) o Akceptace rizik o Získání povolení k provozování ISMS v rámci organizace o Prohlášení o aplikovatelnosti. Rozsah a hranice ISMS Dokument, který stanovuje jaké části systému ISMS budou implementovány a popsány. Definuje rozsah a hranice ISMS na základě posouzení specifických rysů činností organizace, jejího uspořádání, struktury, umístění (lokality), aktiv a technologií,včetně důvodů pro vyjmutí z rozsahu ISMS. Politika ISMS Základní a jednoduchý dokument, kterým vedení společnosti deklaruje plnou připravenost a odpovědnost za prosazení cílů při zavádění systému řízení bezpečnosti informací. Tento dokument znamená, že management společnosti si je vědom, co zavedení tohoto systému znamená a je připraven uvolnit personální a finanční prostředky. Definice a popis přístupu k hodnocení rizik Jedná se o dokument, který definuje systematický přístup k hodnocení rizik. Určuje metodiku hodnocení rizik, která vyhovuje ISMS a stanovené bezpečnosti informací, legislativním a regulatorním požadavkům. Metodikou rozumíme podrobný popis celkové činnosti. Je nutné si uvědomit, že na základě tohoto dokumentu, by měl být schopen například auditor provést Analýzu rizik tzn. tento dokument musí být jasný stručný a výstižný. Dále popisuje a určuje kritéria pro akceptaci rizik a pro definování jejich akceptační úrovně, tedy, která rizika budou akceptována. Je důležité mít vždy na mysli, že vybraná metodika hodnocení rizik musí zajistit, aby výsledky hodnocení rizik byly porovnatelné a reprodukovatelné. Identifikace a ohodnocení aktiv Dokument popisující jaká aktiva organizace vlastní, kdo je jejich majitelem a kterých aktiv se bude ohodnocení a identifikace týkat. Dále je zde popsán systém, jakým se provádí ohodnocení aktiv. Nedílnou součástí je konkrétní popis aktiv a jejich ohodnocení, standardně ve formě tabulky. Podrobnosti o hodnocení aktiv, byly zmíněny v předchozích kapitolách. Identifikace rizik Dokument, který může být součástí výše popisovaného dokumentu (např. v menší organizaci). Popisuje výsledky identifikace rizik konkrétního informačního systému. Musí zde být uveden název Informačního systému, odkaz na metodiku pro hodnocení rizik a tabulka s možnými hrozbami a mírou rizika. Analýza rizik Dokument, který může být součástí výše popisovaného dokumentu (např. v menší organizaci). Popisuje principy Analýzy rizik (minimálně algoritmus výpočtu), aktiva, rizika a výsledky Analýzy rizik. Podrobnosti najdete v předchozích dílech seriálu. 26

27 Návrh protiopatření Dokument popisující jak minimalizovat zjištěná rizika. Tento dokument může obsahovat jak konkrétní řešení (například popis konkrétní hardwarové komponenty), tak návrh řešení v obecné rovině (nasazení minimální úrovně zabezpečení). Dále tento dokument zahrnuje tzv. akceptovaná rizika. Podrobnosti viz. předchozí kapitoly. Cíle opatření a bezpečnostní opatření pro zvládání rizik Dokument, který vychází z přílohy A této normy. Musí být vybrány a implementovány vhodné cíle opatření a jednotlivá bezpečnostní opatření a tento výběr musí být zdůvodněn na základě výsledků procesů hodnocení a zvládání rizik. Při výběru musí být zohledněna kritéria pro akceptaci rizik, stejně tak jako legislativní, regulatorní a smluvní požadavky. Cíle opatření a jednotlivá bezpečnostní opatření uvedená v příloze A nejsou vyčerpávající, mohou tedy být vybrány i další cíle opatření a jednotlivá opatření. Příloha A obsahuje ucelený seznam cílů opatření a jednotlivých bezpečnostních opatření, které byly shledány jako obecně použitelné pro všechny typy organizací. Seznam poskytuje uživatelům důležité vodítko pro zajištění toho, aby nebyla opomenuta nebo přehlédnuta žádná z důležitých opatření. Akceptace rizik Dokument popisující ve stručné formě akceptovaná rizika. Vychází z dokumentu Návrh protiopatření, kde je navržena a zdůvodněna akceptace rizika. V tomto dokumentu je akceptace popsána a schválena nebo zamítnuta. Získání povolení k provozování ISMS v rámci organizace Dokument, ve kterém vedení organizace musí deklarovat svoji vůli k ustavení, zavedení, provozu, monitorování, přezkoumání, udržování a zlepšování ISMS. Dokument musí obsahovat: o stanovení cílů ISMS a plánu jejich dosažení, o stanovení rolí, povinností a odpovědnosti v oblasti bezpečnosti informací, o propagaci významu plnění cílů bezpečnosti informací, jejich souladu s politikou bezpečnosti informací, plnění povinností vyplývajících ze zákona a potřebu soustavného zlepšování v rámci organizace, o zajištění dostatečných zdrojů pro ustavení, zavedení, provoz, monitorování, přezkoumání, údržbu a zlepšování ISMS, o stanovení akceptovatelné úrovně rizika, o provádění interních auditů ISMS, o provedení přezkoumání ISMS. Prohlášení o aplikovatelnosti Dokument, který obsahuje dokumentované prohlášení popisující cíle opatření a jednotlivá bezpečnostní opatření, která jsou relevantní a aplikovatelná v rámci ISMS organizace. Dokument Prohlášení o aplikovatelnosti musí obsahovat následující: o cíle opatření a jednotlivá bezpečnostní opatření vybrané a důvody pro jejich výběr, 27

28 o o cíle opatření a jednotlivá bezpečnostní opatření, která jsou již v organizaci implementována, vyřazené cíle opatření a jednotlivá vyřazená bezpečnostní opatření uvedená v příloze A, včetně zdůvodnění pro jejich vyřazení. Prohlášení o aplikovatelnosti poskytuje souhrn rozhodnutí jakým způsobem bude naloženo s identifikovanými riziky. Zdůvodnění pro vyřazení cílů a jednotlivých opatření poskytuje zpětnou kontrolu, zda nebyly vyřazeny omylem. 28

29 8. ISMS nebo ITIL? V první kapitole této publikace o ISMS byly zmíněny i další důležité normy, které se zabývají bezpečností Informačních systémů. Mezi jinými byla popsána norma ISO/IEC Informační technologie management služeb. Druhá důležitá informace byla o knihovně ITIL (Information Technology Infrastructure Library). A právě o těchto možnostech přístupu k bezpečnosti Informačních systémů bude následující díl. ITIL, ISO nebo BS 15000? V oblasti řízení a správy poskytovaných služeb IT se poměrně dlouhou dobu hovoří o knihovně nejlepších postupů, známých pod názvem Information Technology Infrastructure Library (ITIL). ITIL vznikl jako sada knižních publikací popisujících způsob řízení IT služeb a ICT infrastruktury. Dnes je zcela samostatným oborem činnosti a podnikání a v druhé verzi zahrnuje knihovnu čítající 8 svazků. V roce 2005 společnost OGC zahajuje projekt ITIL Refresh, jehož cílem je vývoj třetí verze knihovny ITIL, která je v roce 2007 vydána. ITIL předkládá sadu osvědčených Best Practices z oblasti řízení služeb ICT, které, jsou-li implementovány, napomáhají dosažení kvality. ITIL je rámec pro design procesů. Mezinárodním standardem, v rámci kterého jsou tyto nejlepší zkušenosti shrnuty do konkrétně popsaných kritérií, je: o ISO/IEC :2005 Information technology Service management (Informační technologie Management služeb část1: Specifikace) o ISO/IEC :2005 Information technology Service management (informační technologie Management služeb část2: Soubor postupů) Tato norma historicky vychází z BS (British Standards) a popisuje implementaci ITSM Za zkratkou ITSM se skrývá IT Service Management neboli Řízení služeb informačních technologií. Obsah ITSM je definován následujícími britskými normami (vydanými British Standard Institute v roce 2000): o BS : IT service management. Specification for service management, o BS : IT service management. Code of practice for service management. Jak je patrno, vedle ISMS existují minimálně další tři možné cesty, jak nasadit bezpečný systém řízení a managementu ICT. Britský systém managementu ICT je poněkud odlišný od našeho středoevropského pojetí, Britové celý systém nejlepších postupů (BS 15000) založili na zkušenostech ze státní správy. Implementace celé knihovny ITIL je běh na velmi dlouhou trať a ten, kdo to myslí vážně, by si měl opatřit alespoň základní literaturu od ITILu. 29

30 ISO Stejně jako v případě automobilového průmyslu je specifikace TS upřesněním a zpřísněním systémových norem, především pak ISO 9001, je norma ISO podobným dokumentem pro služby ICT a navazuje na normu ISO Na obrázku vidíte, jakých typických oblastí se tato norma dotýká, a které jsou typické pro řízení a poskytování IT služeb. V předmluvě normy je její účel definován zcela pregnantně: ISO/IEC stanovuje požadavky, které jsou kladeny na poskytovatele služeb, a které se týkají dodávky řízených služeb v kvalitě přijatelné pro jeho zákazníky. Obrázek 4: Norma ISO definuje pro tyto procesy jasně daná pravidla. Říká, kde má být dokumentovaný postup, kde je povinný záznam a stanovuje jejich povinný obsah. Právě na otázky hloubky přiměřeného plnění toho či onoho prvku mohou být v rámci implementace podle ISO často různé názory. Tato norma však řadu kritérií pro tuto oblast činnosti zpřesňuje tím, že v sobě obsahuje rozhodující slovo MUSÍ. Mezi nejpodstatnější odlišnosti od normy ISO patří tzv. povinně řízená dokumentace: o dokumentované politiky a plány managementu služeb o dokumentované dohody o úrovni služeb o dokumentované procesy a postupy požadované normou o záznamy požadované normou 30

ČSN ISO/IEC 27001 P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

ČSN ISO/IEC 27001 P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001 ČSN ISO/IEC 27001 Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky Představení normy ISO/IEC 27001 a norem souvisejících - Současný stav ISO/IEC 27001:2005

Více

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok Bezpečnost - úvod Zranitelné místo Slabinu IS využitelnou ke způsobení škod nebo ztrát útokem na IS nazýváme zranitelné místo. Existence zranitelných míst je důsledek chyb, selhání v analýze, v návrhu

Více

OCTAVE ÚVOD DO METODIKY OCTAVE

OCTAVE ÚVOD DO METODIKY OCTAVE OCTAVE ÚVOD DO METODIKY OCTAVE Velká závislost organizací na informačních systémech s sebou přináší také nemalé požadavky na zabezpečení zpracovávaných a uložených informací. Důvěrnost, dostupnost a integrita

Více

Standardy a definice pojmů bezpečnosti informací

Standardy a definice pojmů bezpečnosti informací Standardy a definice pojmů bezpečnosti informací Robert Gogela, CISA, CISM Lidská společnost se snaží na vše vytvořit normy a potom trestat ty, kdo normy porušují. Nikdo již ale nekontroluje, zda nám normy

Více

24. 10. 2012. Metodika zajištění ochrany kritické infrastruktury v oblasti výroby, přenosu a distribuce elektrické energie

24. 10. 2012. Metodika zajištění ochrany kritické infrastruktury v oblasti výroby, přenosu a distribuce elektrické energie 24. 10. 2012 Metodika zajištění ochrany kritické infrastruktury v oblasti výroby, přenosu a distribuce elektrické energie Obsah 1 Základní ustanovení... 4 1.1 Popis metodiky... 4 1.2 Cíle Metodiky... 4

Více

Příloha Vyhlášky č.9/2011

Příloha Vyhlášky č.9/2011 Tematické setkání AVZ - Květen 2011 Příloha Vyhlášky č.9/2011 SPECIFIKACE POŽADAVKŮ PRO PROKAZOVÁNÍ SHODY ELEKTRONICKÝCH NÁSTROJŮ (STANDARD) Představení Ing. Ondřej Antoš Odborný posuzovatel ČIA pro oblast

Více

Projektové řízení a rizika v projektech

Projektové řízení a rizika v projektech Projektové řízení a rizika v projektech Zainteresované strany Zainteresované strany (tzv. stakeholders) jsou subjekty (organizace, lidé, prostory, jiné projekty), které realizace projektu ovlivňuje. Tyto

Více

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi 2011 6. října 2011 r

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi 2011 6. října 2011 r ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI Ing. Jiřina Petříková Informační technologie pro praxi 2011 6. října 2011 r Bezpečnost informací Zvyšuje se cena informací v oblasti soukromého podnikání i státní

Více

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004 CobiT Control Objectives for Information and related Technology Teplá u Mariánských Lázní, 6. října 2004 Agenda Základy CobiT Pojem CobiT Domény CobiT Hodnocení a metriky dle CobiT IT Governance Řízení

Více

Efektivní řízení rizik ISMS. Luděk Novák, Petr Svojanovský ANECT a.s.

Efektivní řízení rizik ISMS. Luděk Novák, Petr Svojanovský ANECT a.s. Efektivní řízení rizik ISMS Luděk Novák, Petr Svojanovský ANECT a.s. Obsah Proč řízení rizik ICT? Základní prvky řízení rizik ICT Příklady ohodnocení Potřeby řízení rizik ICT Registr rizik ICT Závěr Motto:

Více

Aplikovaná informatika

Aplikovaná informatika 1 Aplikovaná informatika ZÁKLADY BEZPEČNOSTI IS ZEMÁNEK, Z. - PLUSKAL, D. Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/15.0070)

Více

POŽADADAVKY NA ORGANIZACI SYSTÉMU SPOLEČENSKÉ ODPOVĚDNOSTI (ZÁKLADNÍ INFORMACE)

POŽADADAVKY NA ORGANIZACI SYSTÉMU SPOLEČENSKÉ ODPOVĚDNOSTI (ZÁKLADNÍ INFORMACE) Příloha A (Informativní) POŽADADAVKY NA ORGANIZACI SYSTÉMU SPOLEČENSKÉ ODPOVĚDNOSTI (ZÁKLADNÍ INFORMACE) 1. MODEL SYSTÉMU MANAGEMENTU SPOLEČENSKÉ ODPOVĚDNOSTI FIRMY Současný pohled na problematiku společenské

Více

Katalog služeb 2013 C.Q.M. verze 5, aktualizace 28. 3. 2013. Vzdělávání, poradenství a SW podpora pro systémy integrovaného managementu

Katalog služeb 2013 C.Q.M. verze 5, aktualizace 28. 3. 2013. Vzdělávání, poradenství a SW podpora pro systémy integrovaného managementu C.Q.M. Vzdělávání, poradenství a SW podpora pro systémy integrovaného managementu 2013 verze 5, aktualizace 28. 3. 2013 2013 C.Q.M., spol. s r. o., Ostrava Kontaktní adresa: DIČ : CZ64612759 C.Q.M., spol.

Více

1.1. Správa a provozní podpora APV ROS, HW ROS a základního SW

1.1. Správa a provozní podpora APV ROS, HW ROS a základního SW Příloha č. 4 - Specifikace a informace o předmětu veřejné zakázky Předmětem veřejné zakázky je řízení projektu, správa a údržba programového vybavení pro informační systém Základní Registr osob (dále rovněž

Více

RiJ ŘÍZENÍ JAKOSTI L 1 1-2

RiJ ŘÍZENÍ JAKOSTI L 1 1-2 RiJ ŘÍZENÍ JAKOSTI ML 1-2 Normy řady ISO 9000 0 Úvod 1 Předmět QMS podle ISO 9001 2 Citované normativní dokumenty 3 Termíny a definice 4 Systém managementu kvality 5 Odpovědnost managementu 6 Management

Více

Katalog služeb Verze 5, aktualizace 5. 10. 2012

Katalog služeb Verze 5, aktualizace 5. 10. 2012 C.Q.M. Vzdělávání, poradenství a SW podpora pro systémy integrovaného managementu Verze 5, aktualizace 5. 10. 2012 2012 C.Q.M., spol. s r. o., Ostrava Kontaktní adresa: DIČ : CZ64612759 C.Q.M., spol. s

Více

Příručka kvality společnosti CZECHOSLOVAK REAL (CZ), s.r.o.

Příručka kvality společnosti CZECHOSLOVAK REAL (CZ), s.r.o. CZECHOSLOVAK REAL (CZ), s.r.o., Křenova 438/7, 162 00 Praha 6 Veleslavín Označení dokumentu: PK 01/CSR Strana 1 společnosti CZECHOSLOVAK REAL (CZ), s.r.o. Zpracoval: Jitka Neumannová, DiS. Schválil: Ing.

Více

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba KATALOG služeb Ing. Jiří Štěrba Obsah Úvod 3 Služby 4 Zaměření 5 Nabídka 7 Poptávka 8 Ke stažení 9 Reference 10 Informace 11 Kontakty 12 2 Úvod Dovolte, abychom Vám poskytli informace, které jsou věnovány

Více

ČESKÁ TECHNICKÁ NORMA

ČESKÁ TECHNICKÁ NORMA ČESKÁ TECHNICKÁ NORMA ICS 35.040 Červenec 2009 Informační technologie Bezpečnostní techniky Řízení rizik bezpečnosti informací ČSN ISO/IEC 27005 36 9790 Information technology Security techniques Information

Více

Projekt implementace managementu bezpečnosti informací v rámci realizace ISO 20000 ve firmě Synot ICT Services a.s.

Projekt implementace managementu bezpečnosti informací v rámci realizace ISO 20000 ve firmě Synot ICT Services a.s. Projekt implementace managementu bezpečnosti informací v rámci realizace ISO 20000 ve firmě Synot ICT Services a.s. The project of implementation of security management within the framework of ISO 20000

Více

Příloha č. 1 Servisní smlouvy. Katalog služeb. S2_P1_Katalog služeb

Příloha č. 1 Servisní smlouvy. Katalog služeb. S2_P1_Katalog služeb Příloha č. 1 Servisní smlouvy Katalog služeb S2_P1_Katalog služeb 1 Obsah 1 OBSAH... 2 2 DEFINICE SLUŽEB... 3 3 SPECIFIKACE SLUŽEB... 6 3.1 SLUŽBA PS01_PROVOZ A SPRÁVA... 6 3.2 SLUŽBA PS02_ZÁLOHA A OBNOVA...

Více

Regulace a normy v IT IT Governance Sociotechnický útok. michal.sláma@opava.cz

Regulace a normy v IT IT Governance Sociotechnický útok. michal.sláma@opava.cz Regulace a normy v IT IT Governance Sociotechnický útok michal.sláma@opava.cz Regulace a normy v IT Mezinárodní regulace Národní legislativa Mezinárodní normy Národní normy Oborové standardy Best practices

Více

Popis procesu Příručka kvality Číslo_Verze Vlastník procesu: Platnost od: Schválila: dokumentu PMK 18.09.2015 Ředitelka školy PK_04.

Popis procesu Příručka kvality Číslo_Verze Vlastník procesu: Platnost od: Schválila: dokumentu PMK 18.09.2015 Ředitelka školy PK_04. Příručka kvality Střední škola a Vyšší odborná škola Liberec Příručka kvality 1/16 Obsah: 1 Úvod... 5 1.1 Základní informace o škole... 5 1.2 Předmětem certifikace dle ČSN EN ISO 9001:2009 je:... 5 Vzdělávání...

Více

EXTRAKT z české technické normy

EXTRAKT z české technické normy EXTRAKT z české technické normy Extrakt nenahrazuje samotnou technickou normu, je pouze informativním materiálem o normě. ICS 35.240.60; 03.220.20 Elektronický výběr poplatků (EFC) Architektura systému

Více

Fyzická bezpečnost. Bezpečnost informací v ČR. Ing. Oldřich Luňáček, Ph.D. oldrich.lunacek@unob.cz

Fyzická bezpečnost. Bezpečnost informací v ČR. Ing. Oldřich Luňáček, Ph.D. oldrich.lunacek@unob.cz Fyzická bezpečnost Bezpečnost informací v ČR Ing. Oldřich Luňáček, Ph.D. oldrich.lunacek@unob.cz Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg.

Více

Mgr. Darja Filipová PharmDr. Vladimír Holub Ing. Petr Koška, MBA

Mgr. Darja Filipová PharmDr. Vladimír Holub Ing. Petr Koška, MBA PŘÍRUČKA KVALITY PRO NEMOCNIČNÍ LÉKÁRNU Zpracoval: Přezkoumal: Schválil: Mgr. Darja Filipová PharmDr. Vladimír Holub Ing. Petr Koška, MBA Představitel managementu pro kvalitu Vedoucí lékárník Ředitel FN

Více

MEZINÁRODNÍ AUDITORSKÝ STANDARD ISA 705

MEZINÁRODNÍ AUDITORSKÝ STANDARD ISA 705 MEZINÁRODNÍ AUDITORSKÝ STANDARD MODIFIKACE VÝROKU VE ZPRÁVĚ NEZÁVISLÉHO AUDITORA (Účinný pro audity účetních závěrek sestavených za období počínající 15. prosincem 2009 nebo po tomto datu) OBSAH Odstavec

Více

ZADÁVACÍ DOKUMENTACE K VEŘEJNÉ ZAKÁZCE MALÉHO ROZSAHU

ZADÁVACÍ DOKUMENTACE K VEŘEJNÉ ZAKÁZCE MALÉHO ROZSAHU ZADÁVACÍ DOKUMENTACE K VEŘEJNÉ ZAKÁZCE MALÉHO ROZSAHU Veřejná zakázka malého rozsahu (dále jen veřejná zakázka ) je zadávána dle 6 a 18 odst. 5 zákona č. 137/2006 Sb., o veřejných zakázkách, ve znění pozdějších

Více

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Bezpečnostní aspekty informačních a komunikačních systémů KS2 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní aspekty informačních a komunikačních systémů KS2 VŠFS; Aplikovaná informatika; SW systémy

Více

ČESKÁ TECHNICKÁ NORMA

ČESKÁ TECHNICKÁ NORMA ČESKÁ TECHNICKÁ NORMA ICS 35.040 Prosinec 2011 Informační technologie Bezpečnostní techniky Směrnice pro implementaci systému řízení bezpečnosti informací ČSN ISO/IEC 27003 36 9790 Information technology

Více

Bezepečnost IS v organizaci

Bezepečnost IS v organizaci Bezepečnost IS v organizaci analýza rizik Zabezpečení informačního systému je nutné provést tímto postupem: Zjistit zranitelná místa, hlavně to, jak se dají využít a kdo toho může zneužít a pravděpodobnost

Více

IDENTITY MANAGEMENT Bc. Tomáš PRŮCHA

IDENTITY MANAGEMENT Bc. Tomáš PRŮCHA IDENTITY MANAGEMENT Bc. Tomáš PRŮCHA 20. 12. 2013 ÚVOD S penetrací IT do fungování společnosti roste důraz na zabezpečení důvěrnosti a opravdovosti (autenticity) informací a potvrzení (autorizaci) přístupu

Více

Katalog služeb a podmínky poskytování provozu

Katalog služeb a podmínky poskytování provozu Příloha č. 1 Servisní smlouvy Katalog služeb a podmínky poskytování provozu Část P2_1 P2_1_Katalog služeb a podmínky poskytování provozu 1 Obsah 1 OBSAH... 2 2 DEFINICE POJMŮ... 3 3 DEFINICE SLUŽEB, KOMPONENT

Více

Návrh ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ. 1 Předmět úpravy. 2 Základní pojmy

Návrh ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ. 1 Předmět úpravy. 2 Základní pojmy Návrh VYHLÁŠKA ze dne 2008, kterou se stanoví postup zjišťování, vykazování a ověřování množství emisí skleníkových plynů a formulář žádosti o vydání povolení k emisím skleníkových plynů Ministerstvo životního

Více

Všeobecné podmínky PRO CERTIFIKAČNÍ ORGÁN SYSTÉMOVÉ CERTIFIKACE S.R.O.

Všeobecné podmínky PRO CERTIFIKAČNÍ ORGÁN SYSTÉMOVÉ CERTIFIKACE S.R.O. strana 1/12 VŠEOBECNÉ PODMÍNKY DOKUMENT: PRO CERTIFIKAČNÍ ORGÁN SYSTÉMOVÉ CERTIFIKACE S.R.O. Vypracoval: Schválil: funkce: představitel managementu funkce: vedoucí CO jméno: Markéta Roupcová jméno: Ivana

Více

ČESKÁ TECHNICKÁ NORMA. idt IEC 60300-1:2014. Dependability management Part 1: Guidance for management and application

ČESKÁ TECHNICKÁ NORMA. idt IEC 60300-1:2014. Dependability management Part 1: Guidance for management and application ČESKÁ TECHNICKÁ NORMA ICS 03.100.40; 03.120.01; 21.020; 29.020 Srpen 2015 Management spolehlivosti Část 1: Návod pro management a použití ČSN EN 60300-1 ed. 2 01 0690 idt IEC 60300-1:2014 Dependability

Více

ADVANTA 2.0. www.advanta- group.cz Strana 1 ze 40. Popis řešení Řízení IT projektů. www.advanta- group.cz

ADVANTA 2.0. www.advanta- group.cz Strana 1 ze 40. Popis řešení Řízení IT projektů. www.advanta- group.cz www.advanta- group.cz ADVANTA 2.0 Popis řešení Řízení IT projektů Advanta pomáhá firmám s realizací krátkodobých i dlouhodobých projektů. Díky kombinaci tradičních metod a inovativních přístupů v projektovém

Více

ŘÍZENÍ JAKOSTI ENVIRONMENTÁLNÍ MANAGEMENT BEZPEČNOST PRÁCE ING. PETRA ŠOTOLOVÁ

ŘÍZENÍ JAKOSTI ENVIRONMENTÁLNÍ MANAGEMENT BEZPEČNOST PRÁCE ING. PETRA ŠOTOLOVÁ ŘÍZENÍ JAKOSTI ENVIRONMENTÁLNÍ MANAGEMENT BEZPEČNOST PRÁCE ING. PETRA ŠOTOLOVÁ ŘÍZENÍ JAKOSTI SKUPINA POSTOJŮ, PROCESŮ A PROCEDUR VYŽADOVANÝCH PRO PLÁNOVÁNÍ A PROVÁDĚNÍ VÝROBY NEBO SLUŽBY V OBLASTI HLAVNÍ

Více

Ing. Zdeněk Fildán PŘÍRUČKA PRO ENVIRONMENTÁLNÍ MANAGEMENT (EMS) PODLE NORMY ČSN EN ISO 14 001

Ing. Zdeněk Fildán PŘÍRUČKA PRO ENVIRONMENTÁLNÍ MANAGEMENT (EMS) PODLE NORMY ČSN EN ISO 14 001 Ing. Zdeněk Fildán PŘÍRUČKA PRO ENVIRONMENTÁLNÍ MANAGEMENT (EMS) PODLE NORMY ČSN EN ISO 14 001 Obsah 1.0 Úvod 1.1 Oblast environmentálního managementu (EMS, EMAS) 1.2 Oblast managementu bezpečnosti a

Více

Předmluva: Vítejte v ITIL! Úvod 15 IT Infrastructure Library O této knize ITIL (IT Infrastructure Library ) 1.3. Služby a správa služeb

Předmluva: Vítejte v ITIL! Úvod 15 IT Infrastructure Library O této knize ITIL (IT Infrastructure Library ) 1.3. Služby a správa služeb Obsah Předmluva: Vítejte v ITIL! 13 Úvod 15 IT Infrastructure Library 15 Podpora podniku 15 Myšlenka ABC 15 O této knize 16 Členění knihy 16 Tým stojící za knihou 17 KAPITOLA 1 ITIL (IT Infrastructure

Více

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti Ing. Daniel Kardoš, Ph.D 4.11.2014 ČSN ISO/IEC 27001:2006 ČSN ISO/IEC 27001:2014 Poznámka 0 Úvod 1 Předmět normy 2 Normativní odkazy 3 Termíny

Více

Příloha 2 Pokyny pro žadatele o podporu v rámci 3. výzvy dle příloh V směrnice Program podpory vodohospodářských aktivit

Příloha 2 Pokyny pro žadatele o podporu v rámci 3. výzvy dle příloh V směrnice Program podpory vodohospodářských aktivit Příloha 2 Pokyny pro žadatele o podporu v rámci 3. výzvy dle příloh V směrnice Program podpory vodohospodářských aktivit 1 SEZNAM ZKRATEK ČR MŽP OPŽP SFŽP ČR Česka republika Ministerstvo životního prostředí

Více

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001 Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001 Hradec Králové duben 2009 2009-03 Informace versus Bezpečnost informací Informace (aktivum) - vše, co má hodnotu pro organizaci Bezpečnost

Více

Std - 402 Číslo ev. kopie : STANDARD KVALIFIKACE A CERTIFIKACE PRACOVNÍKŮ V OBORU TEPELNÉHO ZPRACOVÁNÍ KOVŮ

Std - 402 Číslo ev. kopie : STANDARD KVALIFIKACE A CERTIFIKACE PRACOVNÍKŮ V OBORU TEPELNÉHO ZPRACOVÁNÍ KOVŮ Číslo dokumentu: Číslo listu 1 / 12 STANDARD KVALIFIKACE A CERTIFIKACE PRACOVNÍKŮ V OBORU TEPELNÉHO ZPRACOVÁNÍ KOVŮ Účel Tento standard stanovuje systém kvalifikace a certifikace pracovníků v oboru tepelného

Více

ČESKÁ TECHNICKÁ NORMA

ČESKÁ TECHNICKÁ NORMA ČESKÁ TECHNICKÁ NORMA ICS 01.040.35; 35.040 Říjen 2014 Informační technologie Bezpečnostní techniky Systémy řízení bezpečnosti informací Přehled a slovník ČSN ISO/IEC 27000 36 9790 Information technology

Více

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha Standardy/praktiky pro řízení služeb informační bezpečnosti Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha Služby informační bezpečnosti Nemožnost oddělit informační bezpečnost od IT služeb

Více

1 Služby SAP Business Transformation and Plan Services Služby SAP Business Transformation and Plan Services aktuálně zahrnují:

1 Služby SAP Business Transformation and Plan Services Služby SAP Business Transformation and Plan Services aktuálně zahrnují: Popis služeb Služby Business Transformation and Plan Services Služby SAP Business Transformation and Plan Services poskytují služby poradenství a prototypování k podpoře inovace a transformace Zákazníka

Více

ISMS. Uživatel jako zdroj rizik. V Brně dne 5. a 12. prosince 2013

ISMS. Uživatel jako zdroj rizik. V Brně dne 5. a 12. prosince 2013 ISMS Případová studie Uživatel jako zdroj rizik V Brně dne 5. a 12. prosince 2013 Pojmy ICT (Information and Communication Technology) informační a komunikační technologie IS (Information System) informační

Více

Článek I. Smluvní strany

Článek I. Smluvní strany STATUTÁRNÍ MĚSTO OPAVA MMOPP00GBYAR Smlouva na zhotovení Auditu bezpečnosti IT Objednatel: Sídlo: IČ: 00300535 DIČ: Statutární město Opava Článek I. Smluvní strany Horní náměstí 69, 746 26 Opava CZ00300535

Více

Aplikace metodiky hodnocení kvality systému elektronické výměny dat mezi podnikem a státní správou

Aplikace metodiky hodnocení kvality systému elektronické výměny dat mezi podnikem a státní správou Aplikace metodiky hodnocení kvality systému elektronické výměny dat mezi podnikem Miloš Ulman 1, Zdeněk Havlíček 2, Pavel Šimek 3 Česká zemědělská univerzita, Provozně ekonomická fakulta Katedra informačních

Více

ČESKÁ TECHNICKÁ NORMA

ČESKÁ TECHNICKÁ NORMA ČESKÁ TECHNICKÁ NORMA ICS 35.240.80 Říjen 2011 Zdravotnická informatika Architektura služby Část 3: Počítačové hledisko ČSN EN ISO 12967-3 98 2006 idt ISO 12967-3:2009 Health informatics Service architecture

Více

MEZINÁRODNÍ AUDITORSKÝ STANDARD ISA 265 OBSAH

MEZINÁRODNÍ AUDITORSKÝ STANDARD ISA 265 OBSAH MEZINÁRODNÍ AUDITORSKÝ STANDARD PŘEDÁVÁNÍ INFORMACÍ OSOBÁM POVĚŘENÝM SPRÁVOU A ŘÍZENÍM ÚČETNÍ JEDNOTKY A VEDENÍ (Účinný pro audity účetních závěrek sestavených za období počínající 15. prosincem 2009 nebo

Více

Policejní akademie České republiky v Praze BEZPEČNOST INFORMACÍ

Policejní akademie České republiky v Praze BEZPEČNOST INFORMACÍ Policejní akademie České republiky v Praze Fakulta bezpečnostního managementu PRŮVODCE KOMBINOVANÝM STUDIEM Metodická studijní opora BEZPEČNOST INFORMACÍ Bakalářský studijní program Veřejná správa, studijní

Více

Národní příručka Systém řízení bezpečnosti a ochrany zdraví při práci

Národní příručka Systém řízení bezpečnosti a ochrany zdraví při práci ZÆhlav A5 oranzove.qxd 21.10.2003 8:50 StrÆnka 1 MINISTERSTVO PRÁCE A SOCIÁLNÍCH VĚCÍ Národní příručka Systém řízení bezpečnosti a ochrany zdraví při práci new BOZP narod prirucka.qxd 21.10.2003 8:45 StrÆnka

Více

Zadávací dokumentace

Zadávací dokumentace Zadávací dokumentace k nadlimitní veřejné zakázce zadávané v otevřeném řízení dle ust. 21 odst. 1 písm. a) a 27 a násl. zákona č. 137/2006 Sb., o veřejných zakázkách v platném znění (dále také jako zákon

Více

SIMPROKIM METODIKA PRO ŠKOLENÍ PRACOVNÍKŮ K IZOVÉHO MANAGEMENTU

SIMPROKIM METODIKA PRO ŠKOLENÍ PRACOVNÍKŮ K IZOVÉHO MANAGEMENTU SIMPROKIM METODIKA PRO ŠKOLENÍ PRACOVNÍKŮ K IZOVÉHO MANAGEMENTU SIMPROKIM Metodika pro školení pracovníků krizového managementu Kolektiv autorů Ostrava, 2014 Autorský kolektiv: doc. Ing. Vilém Adamec,

Více

Technologie pro budování bezpe nosti IS technická opat ení. michal.slama@opava.cz

Technologie pro budování bezpe nosti IS technická opat ení. michal.slama@opava.cz Technologie pro budování bezpe nosti IS technická opat ení michal.slama@opava.cz Obsah Úvod bezpe nost IS Analýza dopad (BIA) Analýza rizik Bezpe nost Informa ních systém Ochrana informa ních aktiv v organizaci

Více

Služby poskytované BUREAU VERITAS v oblasti certifikace Informační technologie Management služeb (ITSM Information Technology Service Management)

Služby poskytované BUREAU VERITAS v oblasti certifikace Informační technologie Management služeb (ITSM Information Technology Service Management) 1 z 9 Služby poskytované BUREAU VERITAS v oblasti certifikace Informační technologie Management služeb (ITSM Information Technology Service Management) Úvod REPUBLIC, spol. s r.o. (dále též jen BUREAU

Více

ČESKÁ TECHNICKÁ NORMA

ČESKÁ TECHNICKÁ NORMA ČESKÁ TECHNICKÁ NORMA ICS 35.240.20 2002 Informační technologie - Rozhraní uživatelských systémů a symboly - Symboly a funkce ikon - Část 3: Ikony ukazatelů ČSN ISO/IEC 11581-3 36 9814 Únor Information

Více

s názvem Konsolidace HW technologického centra Moravská Třebová

s názvem Konsolidace HW technologického centra Moravská Třebová VÝZVA K PODÁNÍ NABÍDEK A ZADÁVACÍ DOKUMENTACE (oprava ze dne 29. 5. 2015) pro zjednodušené podlimitní řízení dle 38 zákona č. 137/2006 Sb., o veřejných zakázkách (dále jen ZVZ ), ve znění pozdějších předpisů

Více

Účel dokumentu. Uveřejnění jakékoli části tohoto dokumentu podléhá schválení příslušných pracovníků Ministerstva vnitra České republiky.

Účel dokumentu. Uveřejnění jakékoli části tohoto dokumentu podléhá schválení příslušných pracovníků Ministerstva vnitra České republiky. Czech POINT Účel dokumentu Tento PŘ stanovuje základní pravidla provozu systému Czech POINT v prostředí CMS, stanovuje odpovědnosti jednotlivých subjektů zúčastněných na přenosu dat a základní bezpečnostní

Více

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@email.cz, 603 248 295

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@email.cz, 603 248 295 Zákon o kybernetické bezpečnosti základní přehled Luděk Novák ludekn@email.cz, 603 248 295 Obsah Zákon č. 181/2014 Sb., o kybernetické bezpečnosti Vyhláška č. 316/2014 Sb., vyhláška o kybernetické bezpečnosti

Více

ZÁPADOČESKÁ UNIVERZITA V PLZNI FAKULTA EKONOMICKÁ. Bakalářská práce. Řízení rizik projektu přesunu sběrného dvora

ZÁPADOČESKÁ UNIVERZITA V PLZNI FAKULTA EKONOMICKÁ. Bakalářská práce. Řízení rizik projektu přesunu sběrného dvora ZÁPADOČESKÁ UNIVERZITA V PLZNI FAKULTA EKONOMICKÁ Bakalářská práce Řízení rizik projektu přesunu sběrného dvora Risk management of the scrap yard dislocation Jana Široká Plzeň 2014 Prohlašuji, že jsem

Více

Plánování v rámci ISMS

Plánování v rámci ISMS Agenda František teiner Západočeská univerzita v Plzni Plánování v rámci IM Základní pojmy Management rizik Analýza rizik Metody analýzy rizik Základní pojmy Aktivum cokoliv, co má pro organizaci cenu

Více

ODŮVODNĚNÍ VEŘEJNÉ ZAKÁZKY. s názvem. DODÁVKA MULTIFUNKČNÍCH ZAŘÍZENÍ, VČETNĚ TISKOVÉHO SYSTÉMU, Sp.zn.: 586/14-NKU180/387/14

ODŮVODNĚNÍ VEŘEJNÉ ZAKÁZKY. s názvem. DODÁVKA MULTIFUNKČNÍCH ZAŘÍZENÍ, VČETNĚ TISKOVÉHO SYSTÉMU, Sp.zn.: 586/14-NKU180/387/14 ODŮVODNĚNÍ VEŘEJNÉ ZAKÁZKY s názvem DODÁVKA MULTIFUNKČNÍCH ZAŘÍZENÍ, VČETNĚ TISKOVÉHO SYSTÉMU, Sp.zn.: 586/14-NKU180/387/14 zpracované v souladu s ustanovením 156 odst. 8 zákona č. 137/2006 Sb., o veřejných

Více

Věc: Strategie EZÚ pro přechodné období zavádění normy ČSN OHSAS 18001

Věc: Strategie EZÚ pro přechodné období zavádění normy ČSN OHSAS 18001 Váš dopis značky/ze dne Naše značka Vyřizuje / linka Praha Věc: Strategie EZÚ pro přechodné období zavádění normy ČSN OHSAS 18001 Vážení přátelé, Dne 1.7.2007 vyšlo nové vydání původní specifikace OHSAS

Více

NASAZENÍ KONTEXTOVÉHO DLP SYSTÉMU V RÁMCI ZAVÁDĚNÍ ISMS

NASAZENÍ KONTEXTOVÉHO DLP SYSTÉMU V RÁMCI ZAVÁDĚNÍ ISMS VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ BRNO UNIVERSITY OF TECHNOLOGY FAKULTA PODNIKATELSKÁ ÚSTAV INFORMATIKY FACULTY OF BUSINESS AND MANAGEMENT INSTITUTE OF INFORMATICS NASAZENÍ KONTEXTOVÉHO DLP SYSTÉMU V RÁMCI

Více

Bezpečnostní normy a standardy KS - 6

Bezpečnostní normy a standardy KS - 6 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní normy a standardy KS - 6 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 2 Osnova historický

Více

Zadávací dokumentace. Název projektu: Zvýšení odborné kvalifikace zaměstnanců členů Regionální hospodářské komory Plzeňského kraje

Zadávací dokumentace. Název projektu: Zvýšení odborné kvalifikace zaměstnanců členů Regionální hospodářské komory Plzeňského kraje Zadávací dokumentace Název projektu: Zvýšení odborné kvalifikace zaměstnanců členů Regionální hospodářské komory Plzeňského kraje Projekt financován ESF v rámci Operačního programu Lidské zdroje a zaměstnanost

Více

Nástroje IT manažera

Nástroje IT manažera Obsah Nástroje IT manažera Školení uživatelů Ochrana osobních údajů Bezpečnostní politika Software a právo Legální software Management jakosti Výběr a řízení dodavatelů Pracovněprávní minimum manažerů

Více

Komentář k novele vyhlášky:

Komentář k novele vyhlášky: Komentář k novele vyhlášky Ministerstva kultury č. 275/2000 Sb., kterou se provádí zákon č. 122/2000 Sb., o ochraně sbírek muzejní povahy a o změně některých dalších zákonů Ministerstvo kultury je zákonem

Více

Vývoj a technická podpora systému VSD

Vývoj a technická podpora systému VSD ZADÁVACÍ DOKUMENTACE (dále také jako ZD ) ve smyslu 27 a 44 a násl. zákona č. 137/2006 Sb., o veřejných zakázkách, ve znění pozdějších předpisů (dále jen ZVZ ) Název veřejné zakázky: Vývoj a technická

Více

Gradua-CEGOS, s.r.o. člen skupiny Cegos AUDITOR BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

Gradua-CEGOS, s.r.o. člen skupiny Cegos AUDITOR BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI Gradua-CEGOS, s.r.o. člen skupiny Cegos Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 AUDITOR BOZP

Více

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu. Návrh zákona o kybernetické bezpečnosti Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.cz Předmět úpravy VKB Obsah a strukturu bezpečnostní dokumentace

Více

Metodika pro analýzu úrovně poskytování informací cestujícím ve veřejné dopravě. uplatnění výsledků výzkumu

Metodika pro analýzu úrovně poskytování informací cestujícím ve veřejné dopravě. uplatnění výsledků výzkumu Metodika pro analýzu úrovně poskytování informací cestujícím ve veřejné dopravě METODIKA uplatnění výsledků výzkumu 2012 Metodika pro analýzu úrovně poskytování informací cestujícím ve veřejné dopravě

Více

A7B36SI2 Tematický okruh SI08 Revidoval: Martin Kvetko

A7B36SI2 Tematický okruh SI08 Revidoval: Martin Kvetko Strategie testování, validace a verifikace. Testování v průběhu životního cyklu SW díla. Testování jednotek, integrační testování, validační testování, systémové testování, ladění. Principy testování,

Více

Etický kodex. Asociace pro kapitálový trh (AKAT) Část A pro společnosti působící v oblasti investičního managementu

Etický kodex. Asociace pro kapitálový trh (AKAT) Část A pro společnosti působící v oblasti investičního managementu Etický kodex Asociace pro kapitálový trh (AKAT) Část A pro společnosti působící v oblasti investičního managementu Základní principy a doporučené postupy 1/21 I. ÚVOD, CÍLE, ROZSAH A PLATNOST Etický kodex

Více

Bezpečnost na internetu. přednáška

Bezpečnost na internetu. přednáška Bezpečnost na internetu přednáška Autorské právo a bezpečnost na internetu Bezpečnost informačního systému školy Ing. Ludmila Kunderová Ústav informatiky PEF MENDELU v Brně lidak@pef.mendelu.cz internetu

Více

EXTRAKT z české technické normy

EXTRAKT z české technické normy EXTRAKT z české technické normy Extrakt nenahrazuje samotnou technickou normu, je pouze informativním 03.220.01, 35.240.70 materiálem o normě. Inteligentní dopravní systémy Geografické datové soubory (GDF)

Více

Tento dokument je třeba brát jako dokumentační nástroj a instituce nenesou jakoukoli odpovědnost za jeho obsah

Tento dokument je třeba brát jako dokumentační nástroj a instituce nenesou jakoukoli odpovědnost za jeho obsah 2006D0502 CS 22.03.2011 005.001 1 Tento dokument je třeba brát jako dokumentační nástroj a instituce nenesou jakoukoli odpovědnost za jeho obsah B ROZHODNUTÍ KOMISE ze dne 11. května 2006, kterým se po

Více

Představení normy ČSN ISO/IEC 20000 Management služeb

Představení normy ČSN ISO/IEC 20000 Management služeb Představení normy ČSN ISO/IEC 20000 Management služeb Luděk k Novák konzultant, ANECT Agenda Historie a souvislosti ISO/IEC 20000 Postavení vůči ITIL Procesy pro řízení služeb PDCA model pro řízení služeb

Více

INFORMAČNĚ TECHNOLOGICKÝ ZÁKLAD

INFORMAČNĚ TECHNOLOGICKÝ ZÁKLAD Ministerstvo školství, mládeže a tělovýchovy KATALOG POŽADAVKŮ K MATURITNÍ ZKOUŠCE INFORMAČNĚ TECHNOLOGICKÝ ZÁKLAD ZKOUŠKA ZADÁVANÁ MINISTERSTVEM ŠKOLSTVÍ, MLÁDEŽE A TĚLOVÝCHOVY Zpracoval: ÚIV CENTRUM

Více

Metodický návod pro splnění požadavku na zavedení energetického managementu v prioritní ose 5 OPŽP 2014-2020

Metodický návod pro splnění požadavku na zavedení energetického managementu v prioritní ose 5 OPŽP 2014-2020 Metodický návod pro splnění požadavku na zavedení energetického managementu v prioritní ose 5 OPŽP 2014-2020 Metodický návod pro splnění požadavku na zavedení energetického managementu v prioritní ose

Více

Obsah O autorech... 12 Předmluva... 13 Recenzní posudek... 15 Kapitola 1 Pojmy, zkratky a předpisy... 18

Obsah O autorech... 12 Předmluva... 13 Recenzní posudek... 15 Kapitola 1 Pojmy, zkratky a předpisy... 18 O autorech... 12 Předmluva... 13 Recenzní posudek... 15 Kapitola 1 Pojmy, zkratky a předpisy... 18 1.1 Základní pojmy z oblasti e-governmentu a informačních systémů... 18 1.1.1 Informace... 18 1.1.2 Komunikace...

Více

a obcí, práva a povinnosti, návrh nového

a obcí, práva a povinnosti, návrh nového Veřejné zakázky z pohledu starostů měst a obcí, práva a povinnosti, návrh nového zákona o zadávání veřejných zakázek Regionservis s.r.o., dne 19. 11. 2015 JUDr. Michaela Poremská, Ph.D., LLM Kontakt: tel.:

Více

Ostatní portálové aplikace

Ostatní portálové aplikace Univerzitní informační systém Panevropská vysoká škola Ostatní portálové aplikace Svazek 9 Verze: 1.20 Datum: 10. března 2016 Autor: Jitka Šedá, Martin Tyllich Obsah Seznam obrázků 5 1 Helpdesk pro UIS

Více

VÝCHOVNĚ - VZDĚLÁVACÍ PROCES QS 75-02

VÝCHOVNĚ - VZDĚLÁVACÍ PROCES QS 75-02 Příloha č. 6 Střední odborné učiliště a střední odborná škola, SČMSD, Znojmo, s.r.o. List číslo: 1 / 24 Druh dokumentu: SMĚRNICE Vydání: 1 Identifikační označení: QS 75-02 Výtisk číslo: 1 VÝCHOVNĚ - VZDĚLÁVACÍ

Více

Tvrdé systémy (lokomotiva, počítač, Obsahují sociální složku

Tvrdé systémy (lokomotiva, počítač, Obsahují sociální složku Měkké metodiky Jan Smolík Systém Souhrn prvků a vazeb mezi nimi Víc než pouhý součet částí (synergie) Tvrdé systémy (lokomotiva, počítač, sluneční soustava) Měkké systémy Obsahují sociální složku Měkké

Více

Kybernetická bezpečnost

Kybernetická bezpečnost UNIVERZITA OBRANY Fakulta ekonomiky a managementu Kybernetická bezpečnost Ing. Petr HRŮZA, Ph.D. Brno, 2012 Kybernetická bezpečnost Ing. Petr HRŮZA, Ph.D. Recenzenti: doc. Ing. Vladimír VRÁB, CSc. doc.

Více

2.přednáška. Informační bezpečnost: Systém řízení informační bezpečnosti (ISMS)

2.přednáška. Informační bezpečnost: Systém řízení informační bezpečnosti (ISMS) Systém řízení informační bezpečností: Úvod RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost,

Více

Tvorba jednotek výsledků učení ECVET na základě standardů profesních kvalifikací v NSK. Verze připravená pro úpravu již vytvořených jednotek

Tvorba jednotek výsledků učení ECVET na základě standardů profesních kvalifikací v NSK. Verze připravená pro úpravu již vytvořených jednotek Tvorba jednotek výsledků učení ECVET na základě standardů profesních kvalifikací v NSK Verze připravená pro úpravu již vytvořených jednotek Pracovní návrh 7 září 2015 Pracovní verze metodiky tvorby jednotek

Více

Metodika. Oznámení o vykonávání působností v agendě ve smyslu zákona č. 111/2009. Sb., o základních registrech. Verze 1.6

Metodika. Oznámení o vykonávání působností v agendě ve smyslu zákona č. 111/2009. Sb., o základních registrech. Verze 1.6 Metodika Oznámení o vykonávání působností v agendě ve smyslu zákona č. 111/2009 Sb., o základních registrech Verze 1.6 AIS RPP Působnostní určeno pro oznamovatele Oznámení o vykonávání působností č. 111/2009

Více

Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts jiri.sedlacek@nsmcluster.

Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts jiri.sedlacek@nsmcluster. Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti Ing. Jiří Sedláček Chief of Security Experts jiri.sedlacek@nsmcluster.com Kdo jsme Kooperační odvětvové uskupení 19 firem se specializací

Více

Strategický rámec rozvoje veřejné správy České republiky pro období 2014 2020

Strategický rámec rozvoje veřejné správy České republiky pro období 2014 2020 Strategický rámec rozvoje veřejné správy České republiky pro období 2014 2020 IMPLEMENTAČNÍ PLÁN PRO STRATEGICKÝ CÍL 4: Profesionalizace a rozvoj lidských zdrojů ve veřejné správě Verze 5 k 30. 6. 2015

Více

Ostatní portálové aplikace

Ostatní portálové aplikace Akademický informační systém ŠKODA AUTO VYSOKÁ ŠKOLA o.p.s. Ostatní portálové aplikace Svazek 9 Verze: 1.20 Datum: 10. března 2016 Autor: Jitka Šedá, Martin Tyllich Obsah Seznam obrázků 5 1 Absolventi

Více

Ukázka knihy z internetového knihkupectví www.kosmas.cz

Ukázka knihy z internetového knihkupectví www.kosmas.cz Ukázka knihy z internetového knihkupectví www.kosmas.cz U k á z k a k n i h y z i n t e r n e t o v é h o k n i h k u p e c t v í w w w. k o s m a s. c z, U I D : K O S 1 8 1 5 4 4 Nadpis kapitoly Mojmír

Více

SDĚLENÍ KOMISE EVROPSKÉMU PARLAMENTU, RADĚ, EVROPSKÉMU HOSPODÁŘSKÉMU A SOCIÁLNÍMU VÝBORU A VÝBORU REGIONŮ

SDĚLENÍ KOMISE EVROPSKÉMU PARLAMENTU, RADĚ, EVROPSKÉMU HOSPODÁŘSKÉMU A SOCIÁLNÍMU VÝBORU A VÝBORU REGIONŮ EVROPSKÁ KOMISE V Bruselu dne 19.7.2011 KOM(2011) 454 v konečném znění SDĚLENÍ KOMISE EVROPSKÉMU PARLAMENTU, RADĚ, EVROPSKÉMU HOSPODÁŘSKÉMU A SOCIÁLNÍMU VÝBORU A VÝBORU REGIONŮ Digitální tachograf: Plán

Více

Security of Things. 6. listopadu 2015. Marian Bartl

Security of Things. 6. listopadu 2015. Marian Bartl Security of Things 6. listopadu 2015 Marian Bartl Marian Bartl Unicorn Systems, Production Manager, 2013 Unicorn Systems, Operations Architect, 2012 Unicorn, 2012 Architektura a projektové řízení Bezpečnost

Více

Spotřebitelský řetězec lesních produktů Požadavky

Spotřebitelský řetězec lesních produktů Požadavky ČESKÝ SYSTÉM CERTIFIKACE LESŮ Spotřebitelský řetězec lesních produktů Požadavky CFCS 1004:2005 duben 2005 Platí od 1.5.2005 Chain-of-Custody of Forest Based Product - Requirements La chaîne de contrôle

Více

Bezpečnostní politika společnosti synlab czech s.r.o.

Bezpečnostní politika společnosti synlab czech s.r.o. Bezpečnostní politika společnosti synlab czech s.r.o. Platnost dokumentu: 14. ledna 2015 Datum vypracování: 8. ledna 2015 Datum schválení: 13. ledna 2015 Vypracoval: Schválil: Bc. Adéla Wosková, Ing. Jaroslav

Více