srpen 2008 Ing. Jan Káda

Transkript

1 nauka o srpen 2008 Ing. Jan Káda

2 ČSN ISO/IEC 27001:2006

3 (1) aktivum cokoliv, co má pro organizaci hodnotu důvěrnost zajištění, že informace jsou přístupné pouze těm, kteří jsou k přístupu oprávněni integrita zajištění správnosti a úplnosti informací a metod jejich zpracování dostupnost zajištění, že informace je pro oprávněné uživatele přístupná v okamžiku její potřeby bezpečnost informací ochrana důvěrnosti, integrity a dostupnosti informací systém managementu bezpečnosti informací část celkového systému managementu organizace, založená na přístupu (organizace) k rizikům činností,, která je zaměřena na vybudování, zavádění, provoz, monitorování, přezkoumání, udržování a zlepšování bezpečnosti informací

4 (2) událost (v ISMS ) identifikovaný výskyt stavu, indikujícího možné narušení nebo chybu zabezpečení, nebo předem neznámá situace, které mohou mít vliv na bezpečnost informací vrámcisystému, služby nebo sítě incident (v ISMS ) jednotlivý nebo řada nechtěných nebo neočekávaných událostí souvisejících s bezpečností informací,, svýznamnou pravděpodobností, p že by mohly poškodit funkce organizace a ohrozit bezpečnost informací riziko kombinace četnosti nebo pravděpodobnosti výskytu a následků určité nechtěné nebo neočekávané události zbytkové riziko ik riziko, kterézůstává po ošetření rizik k t i ik akceptace rizika rozhodnutí přijmout riziko

5 (3) analýza rizik systematické používání informací k odhadu míry rizika a k určení jeho zdrojů hodnocení rizik proces porovnávání odhadnutého rizika vůči daným kritériím pro určení jeho významu posuzování rizik celkový proces analýzy a hodnocení rizik ik management rizik koordinované činnosti sloužící í k řízeníí a kontrole organizace s ohledem na rizika zvládání rizik zvládání rizik proces výběru a přijímání kontrol pro modifikaci rizika

6 (4) prohlášení o aplikovatelnosti dokument popisující cíle kontrol a nástroje řízení, které jsou relevantní a aplikovatelné na systém managementu bezpečnosti informací organizace, a které jsou založeny na výsledcích a závěrech procesů hodnocení a zvládání rizik

7 (1) 0 Úvod 0.1 Všeobecně 02Procesnípřístup 0.2 viz ISO 9001: Kompatibilita s jinými systémy managementu 1Předmět normy 1.1 Všeobecně 1.2 Aplikace 1.3 Kompatibilita s jinými systémy managementu 2 Normativní odkazy 3 Definice

8 (2) 4 Systém managementu bezpečnosti informací 4.1 Všeobecné požadavky 4.2 Budování a řízení ISMS Ustavení ISMS Zavedení a provozování ISMS Monitorování a přezkoumání ISMS Udržování a zlepšování ISMS 4.3 Požadavky na dokumentaci Všeobecně Řízení dokumentů Řízení záznamů 5 Odpovědnost managementu 5.1 Osobní závazek managementu 5.2 Management zdrojů Poskytování zdrojů Školení, vědomí závažnosti a odborná způsobilost

9 (3) 6 Interní audity ISMS 7 Přezkoumání systému managementu ISMS 7.1 Všeobecně 7.2 Vstup pro přezkoumání 7.3 Výstup z přezkoumání 8ZlepšováníISMS 8.1 Neustálé zlepšování 8.2 Opatření k nápravě 83P 8.3 Preventivní opatření

10

11

12 A.7 Řízení aktiv A71Od A.7.1 Odpovědnost za aktiva A 7.2 Klasifikace informací A.8 Bezpečnost lidských zdrojů A.8.1 Před zahájením pracovního poměru A.8.2 V průběhu pracovního poměru A.8.3 Ukončení nebo změna pracovního poměru A.9 Fyzická bezpečnost a bezpečnost prostředí A.9.1 Zabezpečení oblasti A.9.2 Bezpečnost zařízení A.10 Řízení komunikace a řízení provozu A.10.1 Provozní postupy a odpovědnosti A.10.2 Řízení dodávek služeb třetí strany A.10.3 Plánování a akceptace systému A.10.4 Ochrana proti škodlivým a mobilním kódům A.10.5 Zálohování A.10.6 Správa bezpečnosti sítě A.10.7 Zacházení s médii A.10.8 Výměny informací A.10.9 Služby elektronického obchodování A Monitorování

13 A.11 Řízení přístupu A.11.1 Požadavky na řízení přístupu A.11.2 Řízení přístupu uživatelů A.11.3 Odpovědnosti uživatelů A.11.4 Řízení přístupu k síti A.11.5 Řízení přístupu k operačnímu systému A.11.6 Řízení přístupu k informacím a aplikacím A:11.7 Mobilní výpočetní prostředky a práce na dálku A.12 Sběr dat, vývoj a údržba A.12.1 Požadavky na bezpečnost informačních systémů A Správný postup v aplikacích A.12.3 Kryptografické prostředky A.12.4 Bezpečnost systémových souborů A.12.5 Bezpečnost procesů vývoje a podpory A.12.6 Management technické zranitelnosti A.13 Řízení incidentů v oblasti bezpečnosti informací A.13.1 Hlášení událostí a slabých míst A.13.2 Správa informačních incidentů a zlepšování A.14 Sběr dat, vývoj a údržba A.14.1 Aspekty bezpečnosti informací při řízení kontinuity činnosti organizace A.15 Soulad s požadavky A.15.1 Soulad s právními požadavky A.15.2 Posouzením shody s bezpečnostními politikami a normami a technické shody A.15.3 Aspekty auditu informačních systémů

14 Z hlediska možného ohrožení informační bezpečnosti jsou pro jednotlivá aktiva identifikována rizika realizace hrozeb pro zranitelná místa v dokumentu Hodnocení rizik v ISMS SP-ZI-24/2008(na interní dokumentace) a analyzována jejich významnost pro jednotlivá aktiva. Příslušná opatření a jejich realizace je uvedena v dokumentu Plán zvládání rizik SP-ZI-25/2008(na interní dokumentace)

15

16 Pravidla pro nakládání s informacemi/daty Nakládání s informacemi (daty) se řídí těmito zásadami: Kategorie 1 Pro tuto kategorii platí, že na pracovišti tyto informace v písemné formě mohou být volně uloženy. V digitální formě mohou být uloženy v nezabezpečených složkách PC nebo na přístupném CD. Kategorie 2 Rovněž pro tuto kategorii nejsou stanovena zvláštní pravidla. Pro písemné originály je povinnost uložení v kancelářské skříňce. Kategorie 3 Pro informace kategorie 3 a 4 je vždy stanoven omezený přístup z hlediska osob - manipulace s nimi přísluší pouze vlastníkům. Musí být zajištěny dvojí zábranou - viz čl. 5.3 Kategorie 4 S těmito informacemi je oprávněn nakládat pouze ŘS.

17 Výpočetní technika Jednotný informační systém (síť) v rámci SIGNAL PROJEKTU S.R.O. není provozován. V jednotlivých lokalitách (projektová pracoviště, školicí středisko) jsou jednotlivé osobní počítače č navzájem propojeny pro sdílení í dat bez přístupu vnějších stran. Na internetové stránce je zřízena sekce INTERNÍ DOKUMENTY, která slouží k uložení řízené dokumentace IMS. Vstup do této sekce je pod heslem, které stanovuje AP. Veškeré zásahy do struktury a vybavenosti pracovišť postředk prostředky výpočetní techniky schvaluje ŘS Všechny prostředky výpočetní techniky jsou evidovány v "Evidenčním listu prostředků výpočetní techniky", který vede AP. V tomto záznamu jsou rovněž úplné údaje o programovém vybavení, toto může být doplňováno pouze se souhlasem členů RM ana základě relevantního podkladu o legálním původu příslušného programu. Ochrana proti působení škodlivých programů a antivirové vybavení je zajišťováno samostatně pro každý osobní počítač. Koordinaci a nákup zajišťuje AP po konzultaci s vedoucími pracovišť a pořízení schvaluje ŘS. Všechny prostředky výpočetní techniky jsou vlastnictvím SIGNAL PROJEKTU S.R.O. Nepřípustnost krádeže a vandalismu (poškození) se pak vztahuje na elektronickou podobu dat a informací stejně jako na fyzické prostředky. Především je zakázáno: Neautorizované kopírování i částí programového vybavení nebo dat, Změny konfigurace počítačů či jiných prostředků, které by mohly mít vliv na provoz. Poškození nebo zničení počítačových prostředků (počítačů, programového vybavení, komunikačních linek aj.). Uživatelé využívají počítačové prostředky společnosti ve shodě se svými pracovními úkoly.

18 Zásady pro práci s programovým vybavením Programové vybavení (dále SW) v rámci počítačové sítě lze používat pouze v souladu s licenčními podmínkami jednotlivých produktů a pouze takové, které potřebuje pracovník k výkonu své pracovní činnosti. Za zákonné užívání programového vybavení s povinností oznámení instalace nového programového vybavení AP plně zodpovídá uživatel PC. Evidence programového vybavení vede AP v "Evidenčním list prostředků výpočetní techniky". Vpřípadě SW získaného darem, vlastní činností či nabytí ze zdrojů síti Internet (např. zkušební verze, shareware, freeware, public domain), se použití řídí licenčními podmínkami jednotlivých produktů a za jejich dodržování je zodpovědný uživatel PC. Zaměstnancům je zakázáno neautorizované kopírování i částí programového vybavení nebo dat, k nimž má SIGNAL PROJEKT S.R.O. vlastnická práva resp. práva k užívání. Zaměstnancům je zakázáno Provádět jakékoliakce akce, kterévedouknarušení k soukromí jiného uživatele, a to i v těch případech, kdy uživatel svá vlastní data explicitně nechrání. Kopírovat jakákoliv data nebo programy z uživatelských adresářů bez souhlasu jejich majitelů (to zahrnuje i samotné prohlížení těchto adresářů). Toto omezení platí i v případě, že uživatelské adresáře jsou svými majiteli ponechány volně přístupné elektronickými prostředky. Vědomě využívat programové vybavení a informace k dosažení cílů výše popsaným, případně takovéto programy či informace nabízet jiným. Využívat elektronických prostředků (především elektronické pošty) k obtěžování nebo zastrašování jiných uživatelů. Do této kategorie spadá i rozesílání řetězových dopisů či dopisů na náhodně vybrané adresy v síti. Používat počítačovou síť k získání neautorizovaného přístupu k neveřejným informačním zdrojům (i v majetku či správě jiných organizací). Zaměstnanci jsou povinni dodržovat politiku čistého stolu a čisté obrazovky. Při vzdáleníse z pracoviště musí zabezpečit svoji pracovní stanici proti přístupu neoprávněných uživatelů a písemné dokumenty ukládat na místa stanovená v záznamu"hodnocení rizik".

19 riziko nekvalitního produktu rizika úniku informací environmentální aspekty nebezpečí a rizika BOZP PROGRAMY EMS PROGRAMY OHSMS PLÁNY JAKOSTI OPATŘENÍ KE ZVLÁDÁNÍ Á RIZIK

20 ANALÝZA RIZIK politika, záměry,strategie vyhledání slabých míst právní požadavky stanovení cílů přezkoumání, ř - účinnost spokojený zákazník, vlastník, okolí, společnost

21 Integrovaný systém managementu jakost environment bezpečnost a ochrana zdraví při práci bezpečnost informací

22 Díky za pozornost Ing. Jan Káda AŽD Praha s.r.o. Žirovnická 2/ Praha 10 tel fax