Politika informacn bezpecnosti

Transkript

1 Politika Politika informacn bezpecnosti PV 017 Bezpecnost IT Jan Staudek Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2019 Politika { pravidla rdic dosazen cl u urcen ymi zp usoby A policy is a deliberate system of principles to guide decisions and achieve rational outcomes. A policy is a statement of intent, and is implemented as a procedure or protocol. Politika organizace prohl asen o celkov em z ameru a smeru podnik an form alne vyj adren e vedenm organizace Organizace m uze mt radu politik, jednu pro kazdou z oblast cinnosti, kter e jsou pro organizaci d ulezit e. { Person aln politika { Politika nancnch tok u, Cash flow policy { Politika p usoben v trznm prostred { Soci aln politika... Nekter e politiky jsou navz ajem nez avisl e, jin e politiky maj hierarchick y vztah nebo se dopl nuj Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 1 Shrnut Typov a struktura dokumentu politiky 1 nebo 2 prehledov e vety Uvod strucn e vysvetlen d uvod u zaveden politiky Oblast popisuje ty c asti nebo cinnosti organizace, kter e jsou ovlivneny politikou. prpadne se odkazuj dals politiky, kter e jsou danou politikou podporov any Cle podrobn y popis z ameru politiky Pravidla, z asady Typov a struktura dokumentu politiky pravidla t ykajc se akc a rozhodnut k dosazen cl u. pokud je uzitecn e identikovat klcov e procesy souvisejc s t ematem politiky a pak i pravidla pro provozov an techto proces u Odpov ednosti kdo je odpovedn y za opatren (procedury, protokoly,... ), kter ymi se pln pozadavky t eto politiky. prp, i popis organizacn struktury a odpovednost osob s urcen ymi rolemi Klcov e v ystupy co pro podnik an dosazen v ysledk u politiky prinese Souvisejc politiky Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 2 Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 3

2 Hierarchie bezpecnostnch politik Pro oblasti bezpecnosti organizace maj b yt politiky organizov any hierarchicky na nejvyss urovni je bezpecnostn politika organizace souhrn bezpecnostnch z asad a predpis u, mnozina pravidel denujcch spr avu a ochranu aktiv organizace denuje zp usob zabezpecen organizace jako celku od fyzick e ostrahy, pres ochranu soukrom, pres bezpecn e plnen cl u cinnosti organizace az po ochranu lidsk ych pr av bezpecnostn politika organizace je podporov ana radou dalsch specick ych politik, mj. napr. politikou informacn bezpecnosti, z asady, pravidla zajisten InfSec politikou ISMS, z asady, pravidla chov an ISMS politikou uchov an kontinuity cinnosti, Business Continuity Plan... Politika informacn bezpecnosti a politika ISMS Politka InfSec { co proti cemu chr anit Politika ISMS { jak navrhovat, vyvjet, provozovat a hodnotit procesy plnc politiku InfSec Politika InfSec b yv a podporov ana radou detailnch politik na konkr etnch aspekty informacn bezpecnosti (rzen prstupu, u, cist eho stolu, pouzv an st'ov ych sluzeb,... ) ISO / IEC (standard ISMS) z ad a, aby organizace mela jak politiku ISMS tak i politiku informacn bezpecnosti. konkr etn vztah mezi temito politikami nestanovuje, politiku ISMS z ad a ISO / IEC 27001, politiku InfSec ISO / IEC Obe mohou b yt vytvoreny jako dopl nujc se politiky, politika ISMS m uze b yt podrzena politice InfSec nebo politika InfSec m uze b yt podrzena politice ISMS. Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 4 Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 5 Politika informacn bezpecnosti (IT Security Policy) souhrn bezpecnostnch z asad a predpis u pro ochranu informacnch aktiv politika se b ezn e vyjadruje neform aln e, v prirozen em jazyce standardizovan a hodnocen informacn bezpecnosti budou IT syst emy s neform alne vyj adrenou politikou informacn bezpecnosti hodnotit jako syst emy s nzkou urovn z aruky d uveryhodnosti politiky vyss urove n z aruky za d uv eryhodnost politiky poskytuje jej semi-form aln vyj adren zv ysen urovne d uveryhodnosti nelze dos ahnout pouzitm silnejsch bezpecnostnch mechanism u a/nebo bohats sk alou opatren vyjmecn e lze pouzt i form aln logicko{matematick e jazyky pro vyj adren politiky (pro omezen a prostred a syst emy) pak lze dos ahnout az vysok e urovne d uveryhodnosti Politika informacn bezpecnosti (IT Security Policy) m a vyhovovat celkov e bezpecnostn politice organizace denuje bezpecn e pouzv an IT v r amci organizace stanovuje koncepci informacn bezpecnosti organizace v horizontu 5-10 let stanovuje co jsou citliv a informacn aktiva, jejich klasikaci a odpov ednosti za jejich stav stanovuje bezpecnostn infrastrukturu organizace nutn a je nez avislost v ykonn ych a kontrolnch rol denuje trdu (slu) utocnk u, v uci kter ym se informace organizace zabezpecuj je nez avisl a na konkr etne pouzit ych IT Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 6 Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 7

3 Bezpecnostn politika syst emu zpracov an informac tak e bezpecnostn politika IS, syst emov a bezp. politika,... podle ISO/IEC { Pl an zvl ad an rizik detailn normy, pravidla, praktiky, predpisy konkr etne denujc zp usob spr avy, ochrany, distribuce citliv e informace a jin ych IT zdroj u v oblasti vymezen e syst emem pro zpracov an informac organizace specikace bezpecnostnch opatren, zp usobu jejich implementace a urcen zp usob u jejich pouzit zarucujcch primerenou bezpecnost mus spl novat politiku informacn bezpecnosti organizace mus respektovat konkr etne pouzit e IT urcuje zp usob zabezpecen informac v dan em syst emu v horizontu 2{5 let, tj. denuje { konkr etn cle { co se proti cemu chr an { konkr etn opatren { pouzit e mechanismy pro implementaci opatren { obsahuje havarijn pl an a pl any cinnosti po utocch Tvorba politiky informacn bezpecnosti Denice politik InfSec a ISMS je 1. krok pri budov an ISMS Tvorba politiky je obvykle iterativn proces n aln verze politiky mus odr azet v ysledek ohodnocen rizik dan y obsahem prohl asen o aplikovatelnosti (specikace vhodn ych opatren) { dokument vznikl y jak v ysledek ohodnocen rizik politika je konceptu aln dokument, kter y m a respektovat charakteristiky cinnost, lokalit a aktiv organizace a technologi pouzit ych organizac pro zpracov an informac denovat syst em stanoven cl u a strategi rzen organizace a rizik ustanovit kontext, ve kter em bude p usobit ustanovit krit eria pro evaluaci rizik a strukturu procesu hodocen rizik politika mus b yt schv alen a vedenm organizace pravidelne prezkoum avan a (napr. rocne) a aktualizovan a Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 8 Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 9 Shrnut Politika cinnosti organizace deklaruje, ze vesker a informacn aktiva obsazen a v oblasti p usobnosti t eto politiky InfSec mus b yt b yt vzdy chr anen a proti kompromitaci, proti neautorizovan e zmene jejich integrity a proti omezen jejich dostupnosti, a to bez ohledu na jejich formu, a na to zda jsou sdlen a, sdelen a nebo skladovan a Uvod Informace se mohou vyskytovat ve vce form ach: mohou b yt vytisten e nebo napsan e na papre, ulozen e v elektronick e podobe, pren asen e postou nebo pomoc elektronick ych prostredk u, zobrazen e na lmy, nebo recen e v rozhovoru. Informacn bezpecnost se rozum ochrana informac pred sirokou sk alou hrozeb s clem zajisten kontinuity cinnosti organizace, minimalizace podnikatelsk ych rizik a maximalizace n avratnosti investic a obchodnch prlezitost Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 10 Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 11

4 Oblast Tato politika podporuje politiku bezpecnosti organizace Vztahuje na celou organizaci Cle Zvl adaj se strategick a a provozn rizika informacn bezpecnosti tak, aby byla pro organizaci akceptovateln a Chr an se d uvernost informac o z akazncch, vyvjen ych produktech a marketingov ych pl anech Zajist'uje se integrita protokolov ych z aznam u o cinnostech Verejn e webov e sluzby a sluzby vnitrnch st vyhovuj stanoven emu standardu dostupnosti Pravidla Organizace toleruje informacn rizika, kter a nemus b yt tolerov ana v konzervativne rzen ych organizac, za predpokladu, ze se jim rozum, monitoruj se a v prpade potreby se zvl adaj. Podrobnosti ohodnocov an rizik a zvl ad an rizik se nach azej v politice ISMS. Vsichni zamestnanci jsou vedom a odpovedn za informacn bezpecnost v mre relevantn jejich pracovnmu zarazen Zajist'uje se nancov an opatren informacn bezpecnosti v provoznch a projekcnch procesech Pri celkov em rzen informacnch syst em u se bere do uvahy moznost podvod u zneuzitm informacnch syst em u Vyd avaj se zpr avy o stavu informacn bezpecnosti Sleduj se rizika informacn bezpecnosti a pokud riziko nen akceptovateln e, spoust se odpovdajc akce clen e na zv ysen efektivnosti ochran (inovace opatren, inovace ISMS apod.) Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 12 Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 13 Krit eria pro klasikaci rizik a prijatelnost rizik stanovuje politika ISMS Netoleruj se situace, kter e by mohly v est k rozporu s pr avem ci s predpisy Odpov ednosti Nejvyss management je zodpovedn y za to, ze informacn bezpecnost je dostatecne resena v r amci cel e organizace. Kazd y z nejvyssch manazer u je odpovedn y za to, ze mu podrzen lid e, chr an informace v souladu se standardy organizace. S ef bezpecnosti rad vrcholov ym manazer um, poskytuje odbornou podporu zamestnanc um organizace a zajist'uje vypracov av an zpr avy o stavu informacn bezpecnosti Kazd y zamestnanec pri plnen pracovnch povinnosti relevantne odpovd a za informacn bezpecnost Klcov e v ystupy Incidenty v oblasti informacn bezpecnosti nezp usob v azn e a necekan e skody a/nebo nebudou v azn ym narusenm sluzeb a podnikatelsk ych aktivit. Skody vznikl e podvody zneuzitm informacnch syst em u budou v akceptovateln ych mezch. Z akaznci nebudou neprznive ovlivneni obavami o informacn bezpecnost Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 14 Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 15

5 Souvisejc politiky Politika syst emu rzen informacn bezpecnosti (ISMS) Politika rzen prstupu Politika cist eho stolu a displeje Politika pouzv an neautorizovan eho software Politika v oblasti zsk av an soubor u software bud' prostrednictvm externch st nebo prmo z techto st Politika z alohov an Politika v ymeny informac mezi organizacemi Politika mozn eho vyuzv an elektronick ych komunikacnch zarzen Politika vyuzv an st'ov ych sluzeb Politika pouzv an mobiln v ypocetn techniky a komunikace Politika pr ace z domova Politika pouzv an kryptograck ych opatren Politika souladu Politika licencov an softwaru Politika likvidace software Politika ochrany osobnch udaj u a soukrom Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 16 Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 17 Tvorba politiky informacn bezpecnosti, inici aln dokument Deklarace politiky informacn bezpecnosti Maxim aln rozsah { 2 az 3 strany A4 Odpovedi na klcov e ot azky { Pro koho? Kde? Co? Proc? Deklaruje vrcholov y management, podepisuje,,s ef"organizace Pro koho bude politika informacn bezpecnosti z avazn a? odpovednost za politiku (za kazdou revizi) m a vrcholov y management, mus existovat d ukaz, ze tomu tak je { z apisy z veden,... vrcholov y management / rdic v ybor mus zv azit a vymezit dopad politiky na konkr etn okruhy zamestnanc u, z akaznk u, dodavatel u,... vc. prnos u/negativ pro byznys,... vytv aren a politika m a b yt maxim alne srozumiteln a, upln a (samostatne pouziteln y dokument) a evidentn (nezpochybniteln a), aby se v pr ubehu implementace nemusely opakovane odsouhlasovat vsechny dlc alternativy politiky Tvorba politiky informacn bezpecnosti, inici aln dokument Kde bude oblast p usobnosti politiky informacn bezpecnosti? Nutno presne vymezit podle org. r adu / geogracky / funkcne /... spatne se prosazuje ITSP v oblasti, kter a nepodl eh a jednotn emu rzen mnohdy nestac jednostrann e vymezen napr. na b azi organizacn struktury ci geograck e lokality, do oblasti mus b yt zahrnuty vsechny souvisejc kritick e funkce Co politika informacn bezpecnosti chr an? specikace informacnch aktiv pokryt ych politikou specikace relevantnch rys u bezpecnosti chr anen ych aktiv (d uvernost, integrita, dostupnost,... ) stanoven krit eri pro akceptov an rizik a identikace urovne akceptovateln eho rizika Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 18 Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 19

6 Tvorba politiky informacn bezpecnosti, inici aln dokument Proc se politika informacn bezpecnosti zav ad? srozumiteln e vyj adren podstaty hrozeb pro organizaci srozumiteln e vyj adren v yse skod zp usoben ych narusenm bezpecnosti informac (ve nancnch i nenancnch pojmech) ilustracn prklady d usledk u incident u podporujc zaveden ISMS Deklarace politiky informacn bezpecnosti, sablona { prklad Veden organizace provozujc cinnost v oblasti......, umsten e v......, se rozhodlo chr anit d uvernost, integritu a dostupnost vsech sv ych relevantnch fyzick ych a elektronick ych informatick ych aktiv Clem ochran je udrzen dobr eho stavu konkurencnch v yhod, hotovostnch tok u, ziskovosti, vyhoven z akonn ym a smluvnm omezenm a zachov an dobr e povesti organizace. Cle ochran, pozadavky na informace a na bezpecnost informac budou vyhovovat cl um organizace v oblasti... stanoven ych politikou informacn bezpecnosti a jako zmoc novac mechanismus pro sdlen informac v elektronick ych operacch, pro e-komerci a pro redukci rizik v azan ych na zpracov an informac na akceptovatelnou urove n se pouzije syst em rzen informacn bezpecnosti (ISMS). Zamestnanci organizace cin v oblasti... jsou povinni plnit pozadavky bezpecnostn politiky a ISMS, kter y tuto politiku implementuje. Tot ez plat pro tret strany denovan e v ISMS. Tato politika bude prezkoum avan a alespo n jednou rocne. Odpovednost za bez uecnostn politiku a ISMS je poveren odbor.... Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 20 Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 21 Tvorba politiky informacn bezpecnosti Tak jak jsou n asledne zsk avan e dlc v ysledky z hodnocen rizik, deklarace politiky informacn bezpecnosti se m uze rozsirovat a upres novat Formulov an politiky informacn bezpecnosti Typov a sablona politiky informacn bezpecnosti pro ISMS je souc asti studijnch podklad u pro tento predmet Tvorba politiky informacn bezpecnosti Politika informacn bezpecnosti m a pokr yvat/obsahovat: prohl asen, ze veden organizace bude podporovat ISMS a periodicky prezkoum avat politiku informacn bezpecnosti n astin prstupu k rzen rizik (urcen metodiky), krit era evaluace (vyhodnocen) rizik, strukturu procesu ohodnocen rizik a kdo bude za ohodnocen rizik odpovedn y strucnou identikaci pozadavk u na soubory opatren zajist'ujcch vyhoven politice, napr. { pl an(y) reakc na incidenty, { pl an zachov an cinnost, { pl an z alohov an dat, { pl an ochran pred viry, { politika rzen prstupu, { zpravodajstv o bezpecnostnch incidentech,... pokrač. Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 22 Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 23

7 Tvorba politiky informacn bezpecnosti Tvorba politiky informacn bezpecnosti pokrač srozumitelnou deklaraci toho, ze pozadavky na informace a bezpecnost informac budou vyhovovat cl um organizace a ze relevantn ISMS bude predmetem trval eho vylepsov an jasn e vyj adren, ze vsichni zamestnanci budou podrobov ani skolen a tr enov an v bezpecnostnm uvedomen a specialist e budou absolvovat specializovan a skolen ide alne by ITSP mela deklarovat vyhoven standardu ISO/IEC (tj. prohl asen, ze se uplat nuj standardn opatren), prpadne by ITSP mela deklarovat cl zskat certik atu ISO/IEC (tj. certik atu, ze se uplat nuj validn procesy ISMS) N aklady na budov an politiky InfSec Veden organizace m a pozadovat dolozen n avrhu politiky { odhadem ceny vybudov an ISMS a zdroj u pro vybudov an ISMS { hodnocenm a kvantikac potenci alnch zisk u { n avrhem pl anu implementace a odpovednosti za implementaci Monitorov an postupu budov an politiky InfSec Klcov e okamziky pro prezkoum an postupu tvorby politiky jsou { vypracov an n avrhu Prohl asen o aplikovatelnosti (specikace vhodn ych opatren) v r amci ohodnocov an rizik { implementace inici aln sestavy procedur aplikujcch opatren identikovan a v Prohl asen o aplikovatelnosti { proveden prvnho auditu ISMS { n asledne pak rocne, v termnech pravideln eho prezkoum av an ISMS, urcen ych v politice informacn bezpecnosti Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 24 Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 25 XXX tip u pro tvorbu politiky informacn bezpecnosti Detailn v yklad tip u viz dodatek k t eto predn asce Bezpecnostn politika je nejefektivn ejs, kdyz si ji organizace napse sama Politika informacn bezpecnosti by m ela b yt klcov ym faktorem pri vsech rozhodnutch o cinnosti organizace, nen pravda, ze ovliv nuje cinnost pouze IT odd elen Zam estnanci mus b yt skolen pro dodrzov an bezpecnostn politiky Bezpecnostn politika nebude organizaci chr anit pred vsemi mozn ymi hrozbami. Ucinn a bezpecnostn politika je bezpecnostn politika, kter a se trvale aktualizuje a reviduje XXX tip u pro tvorbu politiky informacn bezpecnosti Bezpecnostn politika m a zahrnovat sledov an v ykonu. Co nem uzete obh ajit / dok azat u soudu, nen ani spolehliv e ani uzitecn e pro bezpecnost. Vsichni mus dodrzovat bezpecnostn politiky nebo celit d usledk um Zam estnanci potrebuj uvoln en. Bezpecnostn politika je predm etem k diskusi. Ucinnost a prijatelnost bezpecnosti jsou dva neodd eliteln e faktory. Bezpecnostn politika mus b yt jasn a, ctiv a, srozumiteln a Predpisy a dosazen souladu s nimi jsou nutn e zla Kdyz jste na pochyb ach, konzultujte standardy Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 26 Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 27

8 Vybran e bezpecnostn z asady Separation of duty { separace odpov ednost kontrolu (audit) spr avnosti proveden akce X nesm prov adet osoba soucasne poveren a exekutivnm v ykonem (provedenm) akce X Dual control { dublov an autorizace zprstup nov an a kongurov an syst em u vysoce citliv ych z hlediska bezpecnosti nen povolen e prov adet jedin e osobe individu alne (princip {,,mus u toho b yt alespo n dva") Mechanismy dublov an autorizace delen kryptograck ych klc u na c asti a pridelen jednotliv ych c ast osob am poveren ym relevantnmi rolemi pridelen inici alnch hodnot kryptograck ych klc u osob am poveren ym relevantnmi rolemi a vypoct an aktu aln hodnoty klce pomoc XOR jejich hodnot vyzadov an soucasn e autentizace vce osob,... Mechanismy odpov ednosti/auditu (accounting, audit) bezpecn y syst em obvykle obsahuje protokolovac podsyst em, kter y zaznamen av a vsechny ud alosti, kter e nejakou formou souvis s bezpecnost Protokolov y z aznam mus b yt odoln y proti falsov an/porusen neutorizovan ym cinitelem b ezcm v syst emu prklad zajisten: vypoct av an a dopl nov an MAC z aznam u pomoc klc u uchov avan ych v nejak em zabezpecen em syst emu Souc ast bezpecnostn politiky syst emu mus b yt predpis o form e vyhodnocov an protokolovan ych z aznam u o ud alostech, kter e n ejakou formou souvis s bezpecnost Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 28 Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 29 Management/spr ava bezpecnosti Pozadavek na spr avn e (bezpecn e) provozov an syst emu pozaduje kontinu aln prov ad en spr avy (rzen) bezpecnosti Mezi rdic ukony z hlediska bezpecnosti mj. patr zajist'ov an inovac syst emu dopl nov anm nov ych funkc bezchybn e detekov an dosud neidentikovan ych zranitelnost syst emu D ulezitou komponentou nepretrzit e spr avy je auditn cinnost zabezpecovan a rolemi nez avisl ymi na exekutiv e bezpecnosti a na navrhovatelch bezpecnostnho resen typick a n apl n cinnosti kontrolnho utvaru kontroln utvar si m uze ponechat odpovednost a v ykon auditu zajist'ovat outsourcingem Kategorizace forem spr avy bezpecnosti Spr ava chyb a z avad idnetikace chyb a z avad v aplikacnm syst emu a ve zp usobu jeho pouzv an (vc. napr. penetracnho testov an { testov an pr unik u) Rzen kongurace a zm enov e rzen administrativa zmen v aplikacnm syst emu Rzen auditu a protokolov an ud alost souvisejcch s bezpecnost audit objasnme na n asledujcch pr usvitk ach podrobneji Rzen v ykonu monitorov an a hodnocen zpracov avatelsk eho/komunikacnho v ykonu Rzen bezpecnostnho programu rzen provozu syst emu podle denovan ych procedur Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 30 Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 31

9 Ucel bezpecnostnho auditu Hlavn cle auditu kontrola, zda byly bezpecnostn procedury denovan e spr avne detekce neosetren ych,,bezpecnostnch der", zranitelnost nepokryt ych adekv atnmi bezpecnostnmi opatrenmi Dals smysl auditu audit procedur po narusen bezpecnost s clem zjisten jak k porusen doslo a kdo je za porusen odpovedn y Role a nez avislost auditora audit prov ad role plne nez avisl a na bezpecnostn exekutive z adn y auditor nesm soucasne pracovat jako bezpecnostn spr avce ci bezpecnostn manazer, architekt apod. (separace odpovednost) Procedury / postupy auditu se denuj jakou souc ast procedur spr avy a provozu syst emu auditor mus b yt schopn y audit vykonat bez spol eh an se na radu,,jak audit delat"od monitorovan ych entit Politiky a syst em rzen informacn bezpecnosti V etsina organizac vytv ar politiku informacn bezpecnosti podle standardu ISO/IEC Politika spr avy informacn bezpecnosti zalozen a na rzen rizik Pouzit standardu ISO/IEC byly venovan e vesmes vsechny dosavadn predn asky Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 32 Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 33 Politiky a syst em rzen informacn bezpecnosti D uv eryhodn a bezpecnostn politika zpracov an informac je z akladn k amen syst emu rzen informacn bezpecnosti (Information Security Management System, ISMS). Clem ISMS je zajistit trvalou aktu alnost politiky informacn bezpecnosti a trvalou urove n zabezpecen informac Politika ISMS je bud'to nadrazena politice informacn bezpecnosti nebo je jej prmou souc ast Standard denujc ustaven, zav aden, provozov an, monitorov an, udrzov an a zlepsov an ISMS v organizaci { ISO/IEC Pouzit standardu ISO/IEC bude venovan a n asledujc predn aska Politiky a syst em rzen informacn bezpecnosti Z akladn ideje ISMS: B azov a idea: Model Plan-Do-Check-Act, PDCA { cyklick y proces: Plan (zaveden ISMS, projekt a detailn n avrh ISMS) Do (implementace ISMS) Check (sledov an, monitorov an, meren efektivnosti ISMS) Act (denice vylepsen ISMS) Plan... podpora pochopen pozadavk u na informacn bezpecnost organizace a potreb pro stanoven politiky a cl u informacn bezpecnosti zaveden a provozov an opatren pro rzen informacn bezpecnosti v kontextu s rzenm celkov ych rizik cinnost organizace monitorov an a prezkoum an v ykonnosti a ucinnosti ISMS neust al e zlepsov an zalozen e na objektivnm meren. Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 34 Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 35

10 Prklad { zaclen en proces u rzen rizik cyklu PDCA ISMS Politika dle z akona o kybernetick e bezpecnosti Struktura politiky informacn bezpecnosti dle z akona o kybernetick e bezpecnosti viz dodatek k t eto predn asce Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 36 Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 37