Sem vložte zadání Vaší práce.

Rozměr: px
Začít zobrazení ze stránky:

Download "Sem vložte zadání Vaší práce."

Transkript

1 table 1

2

3 Sem vložte zadání Vaší práce.

4

5 České vysoké učení technické v Praze Fakulta informačních technologií Katedra teoretické informatiky Bakalářská práce Metodika zavádění ISMS do malých a středních firem Pavel Procházka Vedoucí práce: Ing. Jiří Buček 11. května 2014

6

7 Poděkování Děkuji Ing. Jiřímu Bučkovi za cenné rady a návrhy při vedení bakalářské práce, Ing. Martině Čelikovské a Ing. Petru Prokůpkovi za cenné rady z oblasti managementu bezpečnosti informací a Mgr. Evě Prokůpkové za trpělivost při opravování mých gramatických chyb.

8

9 Prohlášení Prohlašuji, že jsem předloženou práci vypracoval(a) samostatně a že jsem uvedl(a) veškeré použité informační zdroje v souladu s Metodickým pokynem o etické přípravě vysokoškolských závěrečných prací. Beru na vědomí, že se na moji práci vztahují práva a povinnosti vyplývající ze zákona č. 121/2000 Sb., autorského zákona, ve znění pozdějších předpisů, zejména skutečnost, že České vysoké učení technické v Praze má právo na uzavření licenční smlouvy o užití této práce jako školního díla podle 60 odst. 1 autorského zákona. V Praze dne 11. května

10 České vysoké učení technické v Praze Fakulta informačních technologií c 2014 Pavel Procházka. Všechna práva vyhrazena. Tato práce vznikla jako školní dílo na Českém vysokém učení technickém v Praze, Fakultě informačních technologií. Práce je chráněna právními předpisy a mezinárodními úmluvami o právu autorském a právech souvisejících s právem autorským. K jejímu užití, s výjimkou bezúplatných zákonných licencí, je nezbytný souhlas autora. Odkaz na tuto práci Procházka, Pavel. Metodika zavádění ISMS do malých a středních firem. Bakalářská práce. Praha: České vysoké učení technické v Praze, Fakulta informačních technologií, 2014.

11 Abstract The first part of this thesis is an overview of available information about Information Security Management System (the essential norms and procedures). Therefore the thesis provides a framework manual for the implementation of Information Security Management System into various businesses and other organisations. The second (implementation) part describes ISMS implementation procedure in real, however anonymised company. This part refers to the information mentioned in the first (research) part. Keywords ISMS, Information Security, ISO 27001, risk management Abstrakt Práce v první části shrnuje informace z oblasti systému managementu bezpečnosti informací (základní normy a postupy). Práce tak vytváří rámcovou příručku pro zavádění systému managementu bezpečnosti informací do společností. V druhé (implementační) části je popsán konkrétní postup implementace ISMS v reálné, ale anonymizované, firmě. V této části práce se odkazuji k poznatkům uvedeným v první (rešeršní) části. Klíčová slova ISMS, bezpečnost informací, ISO 27001, řízení rizik ix

12

13 Obsah Úvod 1 I Rešeršní část 3 1 Norma ČSN ISO/IEC 27001: PDCA Význam a určení aktiv Identifikace aktiv Ocenění aktiv Pojmy hrozba, zranitelnost, dopad, riziko protiopatření Analýza rizik Typy analýzy rizik Metody analýzy rizik Řízení rizik bezpečnosti informací Stanovení kontextu Posouzení rizik bezpečnosti informací Ošetření rizik Akceptace rizik Komunikace rizik Monitorování a přezkoumání rizik Tvorba prohlášení o aplikovatelnosti 33 6 Postup zavádění ISMS do firmy 35 xi

14 II Implementační část 37 7 Popis organizace 39 8 Rozhodnutí managementu 41 9 Stanovení rozsahu a hranic ISMS Centrála AlenkaSoftware Pobočky AlenkaSoftware Stanovení bezpečnostní politiky Politika bezpečnosti AlenkaSoftware s.r.o Management rizik Stanovení kontextu Posouzení rizik Ošetření rizik Akceptace rizik Implementace ISMS Vytvoření dokumentace Vytvoření formulářů Vytvoření prohlášení o aplikovatelnosti Provoz ISMS Přezkoumání vedením Certifikační audit ISMS Závěr 79 Literatura 81 A Seznam použitých zkratek 85 B Normy pro systémy managementu bezpečnosti informací 87 B.1 Další normy řady ISO B.2 Výběr norem související s ISMS mimo řadu ISO C PDCA cyklus použitý v ISMS 91 D Proces řízení rizik 93 E Havarijní plán a plán kontinuity 95 E.1 Havarijní plán E.2 Plán kontinuity xii

15 F Prohlášení o aplikovatelnosti 97 G Obsah přiloženého CD 121 xiii

16

17 Seznam obrázků 1.1 PDCA v ISMS Vztahy aktivum riziko hrozba Management rizik zahrnující podrobnou analýzu rizik SWOT analýza Vztahy: riziko, zranitelnost, hrozba a aktivum Zavádění ISMS Organizační struktura firmy C.1 PDCA D.1 Proces řízení rizik bezpečnosti informací xv

18

19 Seznam tabulek 11.1 Hodnocení aktiv Lidí Hodnocení aktiv Procesy a služby Hodnocení aktiv Software Hodnocení aktiv Fyzické položky FMEA opatření FMEA aktiva FMEA Závažnost hrozby Hodnocení rizik Data zákazníků Hodnocení rizik Osobní údaje zaměstnanců Hodnocení rizik Linux Hodnocení rizik Databáze Hodnocení rizik Vstupní karta Hodnocení rizik PC Hodnocení rizik Konzultant Hodnocení rizik Vývojář Prohlášení o aplikovatelnosti ukázka F.1 Prohlášení o aplikovatelnosti xvii

20

21 Úvod Práci o managementu bezpečnosti informací jsem si vybral z toho důvodu, že bezpečnost informací je velmi aktuální téma. Bezpečnost informací řeší jak velké, nadnárodní společnosti, tak malé a střední firmy a ve svém důsledku se dotýká každého z nás. Požadavky na bezpečnost informací, případně na zavedení a certifikace systému managementu bezpečnosti informací, přicházejí jak od zákazníků, tak od externích autorit. Vedení některých společností se pro tyto systémy rozhodují i bez vnějších tlaků, protože chtějí, aby firma působila důvěryhodně. Zatímco dříve byl pojem bezpečnost informací chápán jako synonymum k pojmu důvěrnost informací a řešení se omezovalo na technickou stránku, na zabránění nepovoleného přístupu k informacím, současný přístup bere v úvahu nejen důvěrnost, ale především dostupnost, integritu a důvěryhodnost informací a zabývá se více organizační než technickou stránkou věci. Cílem této rešeršně implementační bakalářské práce je v první, rešeršní, části přiblížit základní normy a postupy při zavádění systému managementu bezpečnosti informací a poskytnout tak představu o komplexnosti tohoto systému. První část lze použít i jako rámcovou metodiku zavádění systému managementu informační bezpečnosti a lze podle ní přibližně odhadnout náročnost zavedení tohoto systému do konkrétní firmy. V druhé, implementační, části bude popsán konkrétní postup implementace systému managementu bezpečnosti informací do IT firmy. V této části práce budu využívat poznatky nashromážděné a popsané v rešeršní části práce. Implementace byla provedena v reálné firmě, na přání jejího vedení je tato firma v práci anonymizována. 1

22

23 Část I Rešeršní část 3

24

25 Kapitola 1 Norma ČSN ISO/IEC 27001:2006 V této kapitole se budu zabývat normou ČSN ISO/IEC 27001:2006, která stanovuje kritéria, podle kterých lze určit, zda byl nebo nebyl systém managementu bezpečnosti informací zaveden správně. V současné době již vyšla nová verze ISO/IEC této normy (27001:2013). Tato norma nebyla zatím přeložena do češtiny ani nebyla včleněna do systému ČSN. Další normy související se systémy managementu bezpečnosti informací jsou uvedeny v příloze B. Norma ČSN ISO/IEC 27001:2006 je rozdělena, včetně úvodu, do devíti částí a obsahuje jednu normativní a dvě informativní přílohy. Popisu těchto částí a příloh se věnuji v následujícím textu. Kapitoly 0 a 1 V části 0 normy je vysvětlen důvod jejího vzniku, procesní přístup a kompatibilita s jinými systémy managementu. Důvodem vzniku normy je poskytnutí podpory pro ustavení, zavádění, provozování, monitorování, udržování a zlepšování systému managementu bezpečnosti informací (Information Security Management System, dále ISMS) [1]. V rámci procesního přístupu je kladen důraz na pochopení požadavků na bezpečnost informací organizace a potřebu stanovení politiky a cílů bezpečnosti informací; na zavedení a provozování opatření ISMS v kontextu s řízením celkových rizik (nejen informačních) činnosti organizace; na monitorování a přezkoumání výkonnosti a účinnosti ISMS a na neustálé zlepšování založené na objektivním měření [1]. Norma pracuje s modelem Plánuj Dělej Kontroluj Jednej (Plan Do Check Act, dále PDCA), který je popsán v části 1.1 této bakalářské práce. Tato norma je propojena s normami ISO 9001: a ISO 14001:2004 tak, 1 v současné době platí revize 2008, v roce 2015 je očekávaná revize nová, ve které bude zajištěná plná kompatibilita norem managementu mezi sebou 5

26 1. Norma ČSN ISO/IEC 27001:2006 aby bylo podpořeno jejich konzistentní a jednotné zavedení a provoz. Jeden vhodně navržený systém managementu tak může naplnit požadavky všech těchto norem [1] a zároveň je tato norma navržena tak, aby umožnila propojit nebo integrovat ISMS do stávajícího systému managementu používaného v organizaci. V části 1 je definován předmět normy a jeho použití. Norma specifikuje požadavky na ISMS v kontextu celkových rizik činností organizace a také specifikuje požadavky na zavedení bezpečnostních opatření. ISMS je navržen tak, aby zajistil přiměřená a odpovídající bezpečnostní opatření chránící informační aktiva a poskytující odpovídající jistotu všem zainteresovaným stranám [1]. Určení a význam určení aktiv organizací je popsán v kapitole 2 této bakalářské práce. Norma je použitelná pro všechny typy organizací, komerční, neziskové nebo státní [1]. Kapitoly 2 a 3 Ve druhé části normy nazvané Citované normativní dokumenty je uveden odkaz na jedinou normu, a to ISO/IEC 17799:2005. Ve třetí části je uvedeno 16 termínů a jejich definic (aktivum, bezpečnostní událost, hodnocení rizik, prohlášení o aplikovatelnosti aj.) Kapitola 4 Tato část normy popisuje všeobecné požadavky na ISMS, ustavení a řízení ISMS a požadavky na dokumentaci. Budování a řízení ISMS Mezi všeobecnými požadavky norma uvádí, že organizace musí ustavit, zavést, provozovat, monitorovat, přezkoumávat, udržovat a soustavně zlepšovat dokumentovaný ISMS organizace, a to v kontextu všech činností a rizik. Použitý proces je pro účely této normy založený na modelu PDCA [1]. Tato část normy je pro zavádění ISMS klíčová. Pomáhá vymezit rizika, stanovit největší ohrožení a nejvýznamnější zranitelnosti. Zabývá se analýzou, zpracováním návrhu opatření a pravidelným přezkoumáváním účinnosti opatření [2], což vede k neustálému zlepšování ISMS. Požadavky na dokumentaci Cílem řízení dokumentace je zajistit zpětnou dohledatelnost dokumentů a záznamů tak, aby se zajistila kontinuita a opakovatelnost jednotlivých činností [1]. Dokument (specifikace) popisuje, jak má probíhat činnost, záznam je dokladem o tom, zda a jak činnost proběhla. Dokumenty musí být chráněny a řízeny [1], tj. musí: mít název nebo číslo (nebo obojí), být určen jeho autor, být známá verze nebo datum vydání, být znám rozdělovník (musí být jasné, kdo dokument má) [3]. 6

27 Obrázek 1.1: Aplikace PDCA cyklu v ISMS Záznamy jsou dokumenty uvádějící dosažené výsledky nebo poskytující důkaz o vykonaných aktivitách [4] a musí být vytvořeny a udržovány tak, aby poskytovaly důkaz o shodě s požadavky a o efektivním fungování ISMS. Záznamy musí být chráněny a řízeny. Záznamy musí zůstat čitelné, snadno identifikovatelné a musí být možné je snadno vyhledat. Také musí být udržovány záznamy o všech výskytech bezpečnostních incidentů, vztahujících se k ISMS [1]. Organizace musí být schopna prokázat vazbu mezi zvolenými opatřeními a zpět k výsledkům analýzy rizik a procesu zvládání rizik a následně zpět k politice ISMS a cílům [2], tedy aplikaci PDCA cyklu, viz obrázek 1.1. Dokumentace musí obsahovat celkem 9 položek (např. politiku ISMS, zprávu o hodnocení rizik, prohlášení o aplikovatelnosti aj.) [1]. Kapitola 5 V této části norma pracuje s odpovědností vedení organizace při zavádění ISMS, řízením zdrojů a školením a odbornou způsobilostí. Zapojení managementu do procesu implementace ISMS je zásadní krok, na kterém záleží, zda implementace ISMS bude nebo nebude úspěšná. Management musí stanovit smysluplnou strategii v oblasti bezpečnosti informací [2]. Norma požaduje, aby vedení organizace poskytlo důkazy o své vůli k ustavení, zavedení, provozu, monitorování, přezkoumání, udržování a zlepšování ISMS tak, že provede osm kroků (např. ustanoví politiku ISMS, zajistí dostatečné zdroje, zajistí provádění interních auditů aj.) [1]. 7

28 1. Norma ČSN ISO/IEC 27001:2006 Organizace musí být schopná určit a zajistit zdroje pro činnosti související s ustavením, řízením a zlepšováním ISMS. Dále musí zajistit (pomocí školení apod.), aby zaměstnanci, kterých se týkají povinnosti definované v ISMS, byli odborně způsobilí k výkonu požadovaných úkolů. Příslušný personál by si měl být vědom závažnosti a významu svých činností v rámci bezpečnosti informací a svého přínosu k dosažení cílů ISMS [1]. Kapitola 6 Tato kapitola popisuje interní audity ISMS. Norma stanovuje, že organizace musí provádět interní audity ISMS v plánovaných intervalech tak, aby určila, zda cíle opatření, jednotlivá bezpečnostní opatření a postupy ISMS: a) vyhovují požadavkům normy ČSN ISO/IEC 27001:2006 a zároveň odpovídajícím zákonným nebo regulatorním požadavkům b) vyhovují identifikovaným požadavkům na bezpečnost informací c) jsou zavedeny a efektivně udržovány d) fungují tak, jak se očekává [1]. Interval vhodný pro provádění interních auditů je obvykle 1x za dvanáct měsíců na celý systém. Důležité je při plánování auditů vycházet z rizik, která byla v rámci zavádění ISMS identifikována, a přezkoumávat je. Součástí auditů by mělo být i technické odzkoušení zranitelnosti a ošetření slabých míst pomocí testů. Při zavádění ISMS může být výhodnější provádět interní audity častěji, aby si zaměstnanci zvykli na pravidelnou kontrolu a aby se co nejdříve odstranila slabá místa v daných procesech [2]. Program auditů musí být plánovaný s ohledem na význam auditovaných procesů a oblastí a také s ohledem na výsledky předchozích auditů. Výběr auditorů a vlastní provedení auditů musí zajistit objektivitu a nestrannost procesu auditu. Auditoři nesmějí auditovat svoji vlastní práci [1]. Pro organizaci může být vhodné, aby interní audit ISMS provedla "druhá strana", např. konzultační firma, z důvodu větší objektivity výsledků auditu [2]. Zaměstnanci, kteří jsou odpovědní za auditovanou oblast, musejí zajistit, že kroky na odstranění zjištěných nedostatků a jejich příčin jsou prováděny bez zbytečného odkladu. Tyto kroky musejí obsahovat zpětnou kontrolu a hlášení o výsledcích této kontroly [1]. Podrobnější a konkrétnější informace o provádění interních (i externích) auditů ISMS poskytuje norma ČSN ISO/IEC (Směrnice pro audit systémů řízení bezpečnosti informací), která je popsána v příloze B.1. Kapitola 7 Tato část popisuje přezkoumání ISMS vedením organizace, včetně vstupů a výstupů tohoto přezkoumání. Vedení organizace musí provádět přezkoumání 8

29 ISMS v plánovaných intervalech, aby zajistilo jeho permanentní přiměřenost, adekvátnost a účinnost. Tato přezkoumání musí také hodnotit možnosti zlepšení a potřebu změn v ISMS a aktuálnost bezpečnostní politiky a cílů bezpečnosti [1]. Při přezkoumání by mělo vrcholové vedení získat nezkreslený obraz o skutečném stavu a případně znovu přehodnotit rizika, která byla při předchozím přezkoumání akceptována. Obvyklý interval přezkoumání je 1x ročně, při zavádění systému častěji [2]. Kapitola 8 Osmá část se věnuje zlepšování ISMS, opatřením k nápravě a preventivním opatřením. Organizace musí neustále zvyšovat účinnost ISMS s využitím politiky bezpečnosti informací, cílů bezpečnosti informací, výsledků auditů, analýz monitorovaných událostí, nápravných a preventivních opatření a přezkoumání prováděných vedením organizace [1]. Důraz je kladen na to, aby nápravná a preventivní opatření nebyla jen formální, ale aby byla skutečně používána. Je tedy důležité sledovat nedostatky a neshody zjištěné jak externími, tak interními pracovníky, a reagovat na ně přijetím opatření k nápravě 2 a preventivních opatření 3 tak, aby byl uzavřen PDCA cyklus [2]. Organizace musí identifikovat změny rizik a požadavky na opatření k nápravě, zejména pak u těch rizik, jejichž změna byla významná. Priorita opatření k nápravě bude určena na základě výsledků hodnocení rizik [1] přílohy příloha A normativní Cíle opatření a jednotlivá bezpečnostní opatření uvádí norma v tabulce; podrobněji viz kapitola 5. Cíle opatření a jednotlivá opatření musí být vybrána v rámci procesu zavádění ISMS [1]. Cíle opatření a bezpečnostní opatření se zabývají následujícími tématy: bezpečnostní politikou, organizací bezpečnosti informací, řízením aktiv, bezpečností lidských zdrojů, fyzickou bezpečností a bezpečností prostředí, řízením komunikací a řízením provozu, řízením přístupu, akvizicí, vývojem a údržbou informačních systémů, zvládáním bezpečnostních incidentů, řízením kontinuity činností organizace, souladem s požadavky (právní normy, technické shody apod.) [1]. Dokument, který popisuje plnění požadavků uvedených v této příloze, tvoří základ prohlášení o aplikovatelnost. 2 také opravné nebo nápravné opatření je činnost sloužící k eliminaci příčin zjištěného nesouladu nebo jiné nežádoucí situace [4] 3 činnost vedoucí k eliminaci příčin možného nesouladu nebo jiné nežádoucí potenciální situace [4] 9

30 1. Norma ČSN ISO/IEC 27001: příloha B Tato příloha se zabývá principy směrnice OECD ve vztahu k normě ISO/IEC Principy dané směrnicí OECD pro bezpečnost informačních systémů a sítí se vztahují jak na úroveň politik, tak na provozní úroveň, které řídí bezpečnost informačních systémů a sítí. Norma poskytuje rámec systému managementu bezpečnosti informací pro zavedení některých principů OECD využitím modelu PDCA [1]. V normě je tento vztah popsán v tabulce příloha C Tato příloha ukazuje v tabulce (viz příloha 3) vztah mezi normami ISO 9001, ISO a normou [1]. 1.1 PDCA PDCA cyklus, někdy také Demingův cyklus nebo Demingův kruh, sestává ze čtyř kroků (viz příloha C) Název pochází z anglických názvů jednotlivých kroků: Plan Do Check Act, tedy Plánuj Dělej Kontroluj Jednej. Jedná se o iterační metodu řízení používanou pro řízení a neustálé zlepšování procesů. Variantou PDCA cyklu je OPDCA cyklus, kde o značí observation, tedy pozorování, ve smyslu uchopení stávajícího stavu [5]. PDCA cyklus je použitelný pro řízení procesů obecně, pro účely této práce však budeme mluvit o jeho použití pro ISMS. V prvním kroku, plan (plánuj) vymezíme a definujeme určité oblasti, zvláště co se týká politiky, plánů, cílů, procesů a postupů souvisejících s řízením ISMS [6]. Prověříme současnou výkonnost systému a posoudíme případné problémy a omezení procesů. V tomto kroku shromáždíme data o hlavních problémech a zaměříme se na jejich příčiny; zároveň navrhneme možná řešení a naplánujeme provedení nejvhodnějšího řešení [7]. Ustavíme politiku ISMS, cíle, procesy a postupy související s managementem rizik a zlepšováním bezpečnosti informací [1]. Vše plánujeme tak, aby výsledky odpovídaly celkové politice a cílům organizace [6] [1]. V kroku do (dělej) realizujeme zamýšlené řešení [7]. Zavádíme a využíváme politiku ISMS a zavádíme i opatření, procesy a postupy řízení ISMS [6] [1]. Zároveň sbíráme data pro zmapování a analýzu v krocích kontroluj a jednej [5]. Ve třetím kroku, check (kontroluj) hodnotíme výsledky a posuzujeme, zda bylo dosaženo plánovaných výsledků [7]. Sledujeme odchylky v provedení od původního plánu a také vhodnost a úplnost plánu. Pro hodnocení výsledků používáme i data získaná v kroku dělej [5]. Ve vztahu k politice ISMS, plánům, cílům a zkušenostem posuzujeme a měříme (je-li to možné) jednotlivé procesy, jejich funkčnost a efektivnost. Předáváme také získané výsledky managementu organizace k celkovému vyhodnocení a přezkoumání [6] [1]. 10

31 1.1. PDCA V posledním kroku cyklu, act (jednej) na základě informací ze třetího kroku, informací z vyhodnocení provedeného vedením organizace a interního auditu ISMS provádíme nápravná opatření a preventivní činnost tak, aby bylo dosaženo neustálého zlepšování ISMS [6] [1]. Pokud tyto čtyři kroky nevedou ke zlepšení, je možné se zlepšit v další iteraci (otočení) PDCA cyklu [5]. 11

32

33 Kapitola 2 Význam a určení aktiv Za aktivum považujeme vše, co má nějakou hodnotu [1] nebo užitek pro organizaci, její procesy byznysu a jejich kontinuitu [8], a jehož hodnota může být zmenšena působením hrozby [9]. Aktiva můžeme rozdělit do tří skupin na aktiva nehmotná: finanční a personální informace, obchodně citlivé informace, nahrávky z kamer, software, image organizace, dobré jméno organizace, know-how [10], předměty průmyslového a autorského práva, morálka pracovníků [9] apod. hmotná: nemovitý a movitý majetek (cenné papíry, peníze, hardwarové vybavení) lidé: vlastní personál organizace i outsourcing [10]. 2.1 Identifikace aktiv Aktiva by měla být identifikována v rámci rozsahu ISMS a ke každému aktivu by měl být přidělen vlastník [1]. Vlastník je jedinec nebo entita, která má potvrzenou manažerskou odpovědnost za řízení výroby, vývoje, udržování, používání a bezpečnost aktiv [8]. Vlastník aktiva k němu nemusí mít vlastnická práva, ale má přiměřenou odpovědnost za jeho produkci, vývoj, údržbu, používání a bezpečnost [11]. Odpovědnost za implementaci nástrojů řízení bezpečnosti může být delegována, avšak zodpovědnost by měla zůstat u určeného vlastníka aktiva [8]. Důležitá aktiva by měla být jasně identifikována a náležitě oceněna (viz část 2.2) a měl by být vytvořen a udržován inventář těchto aktiv. Aby bylo zajištěno, že se nepřehlédne nebo nezapomene na nějaké aktivum, měl by být uvažovaný rozsah ISMS definovaný s ohledem na charakter podnikání, organizace, její umístění, aktiva a technologie [8]. Identifikaci aktiv je potřeba provést tak, aby poskytoval dostatek informací pro posouzení rizik. Vlastník aktiva často bývá nejvhodnější osobou pro určení hodnoty aktiva. 13

34 2. Význam a určení aktiv Analýza rizik je vymezena okruhem aktiv organizace, která mají být zvládána procesem řízení rizik bezpečnosti informací [11]. Pro potřeby identifikace aktiv můžeme aktiva rozdělit na primární a podpůrná Primární aktiva Mezi primární aktiva patří obchodní procesy a činnosti a informace z nich plynoucí. Na identifikaci primárních aktiv by se měli podílet vedoucí pracovníci, odborníci v oblasti informačních systémů, ale i samotní uživatelé [11]. V následujícím seznamu je příklad procesů, které jsou obvykle řazeny mezi primární aktiva: procesy, jejichž ztráta nebo omezení zabraňuje plnit poslání organizace procesy, které obsahují know-how nebo procesy, které zahrnují patentové nebo jinak chráněné technologie procesy, které jsou nutné, aby organizace splňovala právní a smluvní podmínky [11]. Dále jsou uvedeny typy informací, které jsou zpravidla považovány za primární aktiva: životně důležité informace pro plnění poslání organizace osobní údaje, jak je lze chápat ve smyslu národních zákonů strategické informace pro dosažení cílů společnosti velmi nákladné informace, a to jak z hlediska času získávání, tak z finančního hlediska [11] Podpůrná aktiva Podpůrná aktiva jsou určena na podporu realizace primárních aktiv [12]. Tato aktiva mají zranitelnost, která je zneužitelná hrozbami s cílem poškodit primární aktiva [11]. Příklady některých podpůrných aktiv: technické vybavení komunikační vybavení zaměstnanci a dodavatelé informační systémy [12]. 14

35 2.2. Ocenění aktiv 2.2 Ocenění aktiv Ocenění aktiv musí být založené na potřebách byznysu organizace, a je pro posouzení rizika nezbytné. Aby bylo možné identifikovat vhodnou ochranu aktiva, je potřeba určit jeho hodnotu pro organizaci. Je důležité brát v úvahu i právní prostředí a výsledné dopady při ztrátě důvěrnosti, integrity nebo dostupnosti aktiv [8]. U hodnocení aktiv si obvykle klademe otázku, jaký by byl finanční a nefinanční dopad v případě, že by došlo k narušení důvěrnosti, integrity a dostupnosti těchto aktiv [9], jejichž hodnota může být vyjádřena kvantitativně nebo kvalitativně [2]. Hodnota aktiva by měla být posuzována individuálně pro každou z vlastností: důvěrnost, integrita, dostupnost nebo jiné důležité vlastnosti pro organizaci, protože tyto jsou nezávislé a mohou se u různých aktiv lišit [8]. Kritéria pro posuzování hodnot aktiv by měla jednoznačně definována, protože některé aspekty aktiv jsou určeny subjektivně a určení hodnoty aktiv provádí více různých jedinců. Je nezbytné stanovit, jakým způsobem se určí celková hodnota aktiva, jestli je to hodnota vlastnosti s nejvyšší hodnotou nebo součet (části) hodnot nebo jiná kombinace. Také je potřeba počítat se vzájemnou závislostí aktiv a případně upravit hodnotu aktiv, na kterých jsou závislá vysoko hodnocená aktiva. [11] Aby bylo možné posoudit hodnotu aktiva v rámci společnosti, je vhodné pro aktiva definovat kategorie ocenění. Hranice těchto kategorií si volí společnost sama podle toho, co považuje za nízkou nebo vysokou škodu [8]. Tato hodnotící škála by se měla používat napříč celou organizací. [11]. Společnost si také volí, jak podrobnou škálu použije; nejčastěji se používá tři až deset kategorií [8] [11]. 2.3 Pojmy hrozba, zranitelnost, dopad, riziko protiopatření Vztahy mezi výše uvedenými pojmy ukazuje obrázek 2.1 Hrozba Hrozba má potenciální schopnost způsobit nežádoucí bezpečnostní incident 4 [2] nebo škodu na aktivech [9]. Škoda se může vyskytnout jako důsledek přímého nebo nepřímého útoku na aktiva. Pro způsobení škody využívá hrozba existující (stávající) zranitelnost aktiv [2]. Hrozby mohou být přírodní (objektivní) nebo lidské (subjektivní). Mezi přírodní hrozby řadíme např. povodeň, požár, poruchu HW. Lidské hrozby 4 Bezpečnostní incident je jedna nebo více nechtěných nebo neočekávaných bezpečnostních událostí, u kterých existuje vysoká pravděpodobnost kompromitace činností organizace a ohrožení bezpečnosti informací [1]. 15

36 2. Význam a určení aktiv Obrázek 2.1: Vztahy při managementu rizik [2] můžeme rozdělit na neúmyslné (chyba obsluhy ) a úmyslné (vynesení informací zaměstnancem, hacking, odposlech). Z hlediska řízení bezpečnosti informací je nutné identifikovat jak náhodné, tak i úmyslné hrozby [2]. Základní charakteristikou hrozby je její úroveň. Úroveň hrozby se hodnotí podle nebezpečnosti, tj. schopnosti hrozby způsobit škodu, přístupu, tj. pravděpodobnosti, že se hrozba svým působením dostane k aktivu, a motivace, tj. zájmu iniciovat hrozbu vůči aktivu [9]. Zranitelnost Zranitelnost je nedostatek, slabina nebo stav analyzovaného aktiva (případně subjektu nebo jeho části), který může hrozba využít pro uplatnění svého nežádoucího vlivu. Jedná se o vlastnost aktiva a vyjadřuje, jak citlivé je aktivum na působení dané hrozby [9]. Jedná se o slabá místa na úrovni fyzické, organizační, procedurální, personální, řídící, administrativní, hardwaru, softwaru nebo informací [10]. Zranitelnost sama o sobě není příčinou škody [2]. Dopad Dopad je důsledek nežádoucího incidentu, způsobeného buď náhodně nebo úmyslně, který má vliv na aktiva. Následky mohou mít podobu zničení určitých aktiv, poškození systému informačních technologií (IT), nebo narušení bezpečnosti informací [2]. Riziko Riziko je potenciální možnost, že daná hrozba využije zranitelností [2]. Riziko vyjadřuje míru ohrožení aktiva, míru nebezpečí, že se uplatní hrozba a dojde k nežádoucímu výsledku vedoucímu ke vzniku škody. Velikost rizika je vyjádřena jeho úrovní. Riziko vzniká vzájemným působením hrozby a aktiva [9]. Riziko je charakterizováno jako kombinace dvou faktorů, pravděpodobnosti 16

37 2.3. Pojmy hrozba, zranitelnost, dopad, riziko protiopatření výskytu nežádoucího incidentu a jeho dopadu. Jakákoliv změna aktiv, hrozeb, zranitelností nebo ochranných opatření může výrazně ovlivnit míru rizika. Včasná detekce nebo znalost změn v prostředí zvyšuje příležitost realizovat vhodná opatření ke snížení rizika [2]. Protiopatření Protiopatření je cokoliv, co bylo speciálně navrženo pro zmírnění působení hrozby (její eliminaci), snížení zranitelnosti nebo dopadu hrozby. Cílem protiopatření je předejít vzniku škody anebo usnadnit překlenutí následků vzniklé škody. Protiopatření je charakterizováno efektivitou a náklady. Efektivita protiopatření vyjadřuje, nakolik protiopatření sníží účinek hrozby. Do nákladů na protiopatření se započítávají náklady na pořízení, zavedení a provozování protiopatření. Společně s efektivitou protiopatření jsou tyto náklady důležitými parametry při výběru protiopatření. Výběr vhodného protiopatření spočívá v optimalizaci, kdy se hledají nejúčinnější protiopatření, jejichž realizace přinese co nejmenší náklady [9]. 17

38

39 Kapitola 3 Analýza rizik Analýza rizik je systematické používání informací k odhadu rizika a k identifikaci jeho zdrojů [1]. Cílem analýzy rizik je identifikace a ocenění aktiv, soupis možných rizik a zranitelnosti (zranitelných míst). Rizika jsou pak stanovena v oblastech průniku hrozeb a zranitelností. Stanovená rizika je poté nutné kontrolovat nebo akceptovat. Je důležité správně stanovit vhodnou metodu a typ analýzy rizik. Metody analýzy rizik můžeme obecně rozdělit na metody kvalitativní (viz část 3.2.1), kvantitativní (viz část 3.2.2) a expertní (viz část 3.2.3). Podle typu můžeme analýzu rizik rozdělit na: orientační analýzu rizik, elementární analýzu rizik, neformální analýzu rizik a podrobnou analýzu rizik [2]. 3.1 Typy analýzy rizik Orientační analýza rizik Výsledkem této analýzy rizik je rozhodnutí o vhodném typu analýzy rizik. Orientační analýza rizik hodnotí systémy IT z hlediska důležitosti pro činnost organizace. Pokud nedostatečné zabezpečení systému IT může způsobit významnou škodu, je nutné na daný systém aplikovat podrobnou analýzu rizik. V ostatních případech lze použít elementární analýzu rizik [2]. Elementární analýza rizik Detailní hodnocení hrozeb, zranitelností a rizik v tomto případě není nutné. Organizace v tomto případě aplikuje tzv. základní bezpečnost. Této bezpečnosti je dosaženo pomocí výběru standardních ochranných opatření. Cílem základní ochrany je proto stanovit minimální sadu ochranných opatření, která ochrání celý systém nebo případně některé jeho části. Ochranná opatření jsou vybírána z katalogů, které navrhují sadu ochranných opatření k ochraně systému IT proti nejobecnějším hrozbám [2]. Tato varianta je nejméně náročná z finančního i časového hlediska. 19

40 3. Analýza rizik Neformální analýza rizik Tento přístup není založen na strukturovaných metodách, ale využívá znalostí a zkušeností jednotlivců, což je zároveň i nevýhodou tohoto přístupu. Výhodou pak je nízká finanční náročnost a rychlost provedení [2]. Podrobná analýza rizik Tato analýza rizik zahrnuje podrobnou identifikaci a ohodnocení aktiv, odhad hrozeb pro tato aktiva a odhad zranitelností. Výsledky těchto aktivit jsou použity pro ohodnocení rizik a tedy i k identifikaci zdůvodnitelných bezpečnostních opatření. Výhodou tohoto přístupu je, že s velkou pravděpodobností budou pro každý systém identifikována vhodná ochranná opatření. Kromě toho mohou být výsledky podrobné analýzy použity pro řízení změn týkajících se bezpečnosti. Nevýhodou je potřeba značného objemu času, úsilí a expertizy pro získání výsledků. Také hrozí možnost, že bezpečnostní potřeby kritického systému budou řešeny příliš pozdě. Z tohoto důvodu není žádoucí používat podrobnou analýzu rizik u všech systémů IT [2]. Podrobná analýza začíná identifikací aktiv, dále se provádí ohodnocení aktiv a hrozeb. Při odhadu zranitelnosti se posuzují možné dopady hrozeb na jednotlivá aktiva. Dále se identifikují již existující ochranná opatření a v posledním kroku se odhaduje riziko [2]. Jednotlivé kroky podrobné analýzy rizik ukazuje obrázek 3.1. K provedení podrobné analýzy rizik existuje mnoho různých metod, včetně softwarových nástrojů. [2]. 3.2 Metody analýzy rizik V praxi se často používá nejdříve kvalitativní analýza pro získání obecné úrovně rizika a pro odhalení větších rizik. Později je možné provést kvantitativní analýzu větších rizik, která je na provádění obvykle složitější a dražší [11] Kvalitativní metody Kvalitativní metody se používají pro popis velikosti potenciálních následků a pravděpodobnosti, že se tyto následky vyskytnou, škálu kvalifikačních atributů. Výhodou tohoto typu analýzy je její snadná pochopitelnost, nevýhodou závislost na subjektvním výběru škály [11]. Kvalitativní analýzu je vhodné použít jako úvodní přehled vedoucí k identifikaci rizik, tam, kde tento druh analýzy je dostatečným pro další rozhodování tam, kde číselné údaje nebo zdroje nejsou dostatečné pro provedení kvantitativní analýzy [9]. Mezi tyto metody spadá například metoda FURPS. 20

41 3.2. Metody analýzy rizik Obrázek 3.1: Management rizik zahrnující podrobnou analýzu rizik [2] 21

42 3. Analýza rizik FURPS metoda FURPS metoda (Functionality, Usability, Reliabity, Supportability, Performance) byla původně vytvořena pro ověření kvality softwaru, ale lze ji využít i pro hodnocení informačních systémů. Ty zkoumá z pěti hledisek: funkčnosti, užitečnosti, spolehlivosti, schopnosti být udržován a výkonu. Metoda nespecifikuje, jakým způsobem mají být tyto oblasti hodnoceny, každá organizace si tedy stanovuje konkrétní metriku sama [13] Kvantitativní metody Kvantitativní analýza rizik používá stupnici s číselnými hodnotami jak pro následky, tak pro jejich pravděpodobnost. Využívá přitom data z různých zdrojů. Kvalita této analýzy závisí na přesnosti a úplnosti číselných hodnot a platnosti použitých modelů [11]. Patří sem například tyto používané metodiky: RiskPAC a RiskWatch [9]. Podrobněji se budu věnovat metodice CRAMM, z důvodu jejího častého používání. CRAMM metodika CRAMM (CCTA 5 Risk Analysis and Management Method) je metodika určená pro zavádění a podporu ISMS, pro provádění analýzy rizik informačních systémů a sítí, k návrhu bezpečnostních protiopatření apod [2]. Analýza rizik v rámci této metodiky řeší ohodnocení systémových aktiv, seskupení aktiv do logických skupin a stanovení hrozeb, působících na tyto skupiny, prozkoumání zranitelnosti systému a stanovení požadavků na bezpečnost pro jednotlivé skupiny. Na základě těchto informací jsou pak navržena bezpečnostní opatření. Zkoumá se vždy model systému, nikoli systém samotný [9] Expertní metody Expertní metody vyjadřují verbální nebo numerický názor na analyzovaný problém. [14]. Stojí tedy na pomezí mezi kvalitativními a kvantitativními metodami. Mezi tyto metody patří např.: analýza co by-kdyby (what-if analysis), která hledá závěry (co by se stalo) k předpokládaným rizikům (kdyby), FMEA, SWOT analýza a další [14]. Posledním dvěma jmenovaným se budu věnovat podrobněji v následujícím textu. FMEA FMEA (Failure Mode and Effect Analysis, analýza možného výskytu a vlivu vad) je patrně nejrozšířenější metodou expertní analýzy rizik. Má dvě fáze, verbální a numerickou. Verbální fáze se zaměřuje na identifikaci možného vzniku poruch, možných způsobů poruch, možných následků poruch. Numerická fáze se zaměřuje na tříparametrický odhad rizik s použitím indexu RPN 5 Central Computer and Telecommunications Agency 22

43 3.2. Metody analýzy rizik (Risk Priority Number, v češtině uváděné i jako MRP míra rizik a priorit) [14]. RPN lze spočítat podle vzorce: RP N = C P V P O kde C je cena, význam nebo závažnost rizika (kolik by stálo uskutečněné riziko, jak významné je), PV je pravděpodobnost výskytu rizika a PO je pravděpodobnost odhalení rizika [15]. Pro každou kategorii (cena, pravděpodobnost výskytu a odhalení) je stanovena stupnice významnosti, kde nejpříznivější situace mají nejnižší číselnou hodnotu (nepravděpodobný výskyt bude označen hodnotou 1, vysoký výskyt hodnotou 5). Obvykle se používají stupnice od 1 do 5. Nejnižší hodnota nikdy nesmí být nula [14]. SWOT SWOT analýza, z anglického Strenghts Weaknesses Opportunities Threats, je metoda, díky které můžeme identifikovat silné stránky, slabé stránky, příležitosti a hrozby [16]. Tato analýza je přínosná zvláště v začátcích [14] zavádění ISMS. Výstupem této analýzy nejsou rizika, ale spíše možné postupy[14]. Následnou práci se SWOT analýzou ukazuje obrázek 3.2 (otázky [14] analýza [16] Obrázek 3.2: SWOT analýza 23

44

45 Kapitola 4 Řízení rizik bezpečnosti informací Cílem řízení rizik je chránit současná i budoucí aktiva organizace[14]. Jedná se o proces, při němž se subjekt řízení snaží zamezit působení již existujících i budoucích hrozeb a navrhuje řešení, která pomáhají eliminovat účinek nežádoucích dopadů [17]. Lze říci, že řízení rizik je souhrnem činností cílených na rozpoznávání a minimalizaci možných ztrát organizace [14]. Řízení rizik bezpečnosti informací sestává ze stanovení kontextu, posouzení rizik, ošetření rizik, akceptace rizik, komunikace rizik a monitorování a přezkoumání rizik. Jak jsou tyto činnosti propojené, ukazuje příloha D. Opakováním procesu managementu rizik dochází k upřesnění závěrů [11]. 4.1 Stanovení kontextu Stanovení kontextu zahrnuje určení základních kritérií pro řízení bezpečnosti informací, definuje rozsah a hranice a stanoví příslušnou organizační strukturu pro řízení rizik. V PDCA cyklu se jedná o proces plánuj (plan)[11] Určení základních kritérií Mezi základní kritéria patří: přístup k řízení rizik (a zajištění zdrojů) kritéria hodnocení rizik zohledňující např. kritičnost informačních aktiv, legislativní požadavky, očekávání organizace kritéria dopadu specifikovaná na základě stupně škod nebo ztrát organizace způsobených bezpečnostním incidentem kritéria akceptace rizik, která tvoří organizace sama [11]. 25

46 4. Řízení rizik bezpečnosti informací Rozsah a hranice Aby bylo zajištěno, že jsou při posuzování rizik brána v úvahu všechna příslušná aktiva, musí být stanoven rozsah řízení rizik. Hranice slouží k identifikaci rizik, která by mohla hranice prolomit a způsobit tak škodu nebo ztrátu organizaci. Při definování hranic by organizace měla přihlížet např. k obchodním procesům, politice organizace týkající se bezpečnosti informací, informačním aktivům, sociálně-kulturnímu prostředí nebo celkovému přístupu organizace k řízení rizik [11] Organizační struktura Pro proces řízení rizik bezpečnosti informací by měla být stanovena a udržována organizace a odpovědnosti. Tato organizace řízení rizik by měla být schválena vedoucími pracovníky organizace. Hlavními rolemi a odpovědnostmi organizace řízení rizik jsou: rozvoj procesu řízení rizik bezpečnosti informací vhodný pro organizaci identifikace a analýza zainteresovaných stran definování rolí a odpovědností všech částí organizace stanovení požadovaných vztahů mezi organizací a zainteresovanými stranami stanovení eskalace rozhodnutí specifikace záznamů, které musí být uchovány [11]. 4.2 Posouzení rizik bezpečnosti informací Posouzení rizik sestává z těchto činností: identifikace rizik, analýza rizik (viz kapitola 3) a hodnocení rizik. Při posouzení rizik určujeme hodnotu informačních aktiv, identifikujeme možné hrozby a zranitelnosti, identifikujeme stávající opatření a jejich účinek na rizika, určujeme možné dopady a stanovujeme priority rizik. Posouzení rizik může provádět ve více opakováních nejprve přehledové posouzení a následně důkladné prozkoumání vysokých rizik. V PDCA cyklu se jedná o proces plánuj (plan)[11] Identifikace rizik Riziko nastává v okamžiku průniku hrozby zranitelnými místy [10]. Účelem identifikace rizik je určit, jak by mohla vzniknout potenciální ztráta a porozumět tomu, kde, jak a proč může ke ztrátě dojít. Součástí identifikace rizik tak je nutně identifikace aktiv (viz část 2.1), identifikace hrozeb, stávajících 26

47 4.2. Posouzení rizik bezpečnosti informací opatření, zranitelností a následků. Vztah mezi prvními čtyřmi pojmy ukazuje obrázek 4.1. Identifikace hrozeb Cílem tohoto procesu je identifikovat hrozby a jejich zdroje [11]. Sledujeme tedy jevy, které by mohly ohrozit aktiva. Při identifikaci hrozeb vycházíme z toho, které hrozby mohou působit nebo již působily v lokalitě organizace a na aktiva organizace [9]. Hrozby by se měly identifikovat obecně podle typu. V případě potřeby by se poté měly v rámci obecné třídy identifikovat jednotlivé hrozby tak, aby žádná nebyla opomenuta. Některé hrozby mohou ohrozit více aktiv. Jedna hrozba může mít na různá aktiva různý dopad [11]. Vstupní informace pro identifikaci hrozeb lze získat z přezkoumání incidentů, od vlastníků aktiv, od vlastníků aktiv, uživatelů a jiných zdrojů, například z katalogu vnějších hrozeb [11]. Hrozby mohou být posuzovány z hlediska bezpečnostních atributů a podle původce vzniku [9]. Identifikace stávajících opatření Identifikace stávajících opatření je důležitá, aby nedocházelo k duplikaci opatření, aby se odhalila stávající špatně fungující opatření a aby byla odhalena opatření bez zranitelných míst. Abychom mohli odhadnout účinnost opat- Obrázek 4.1: Vztahy: riziko, zranitelnost, hrozba a aktivum 27

48 4. Řízení rizik bezpečnosti informací ření, je potřeba poznat, jakým způsobem opatření snižuje pravděpodobnost hrozby. Pro identifikaci existujících a plánovaných opatření nám může pomoci přezkoumání dokumentů, které obsahují informace o opatřeních, provedení kontrol odpovědnými pracovníky (manažer ISMS) a přezkoumání fyzických opatření na místě. Výsledkem tohoto procesu by měl být seznam existujících a plánovaných opatření, jejich zavedení a stav užívání [11]. Identifikace zranitelností V tomto procesu je potřeba identifikovat zranitelnosti, které mohou být zneužity hrozbami a může tak vzniknout škoda na aktivech [11]. Zabýváme se úrovní fyzické, logické, organizační, personální a technické bezpečnosti [9]. Výskyt zranitelnosti jako takový nezpůsobuje škodu, pokud neexistuje hrozba, která zranitelnost využije. Pokud pro danou zranitelnost neexistuje hrozba, nemusí být přijato žádné protiopatření. Přesto by zranitelnost měla být identifikována a monitorována ve vztahu k hrozbám [11], aby bylo možné včas zavést případné protiopatření. Identifikace následků Tato činnost identifikuje možné škody nebo dopady na organizaci, které by mohly vzniknout jako důsledek bezpečnostních incidentů. V tomto kroku je nutné určit následek incidentu a posuzovat přitom kritéria dopadu definovaná během stanovení kontextu. Následek může ovlivnit více aktiv, jedno aktivum nebo jen jeho část. Následky mohou být dočasné nebo trvalé. Výstupem tohoto procesu by měl být seznam scénářů možných incidentů s jejich následky [11] Hodnocení rizik Riziko vyjadřuje míru zneužití určité zranitelnosti konkrétní hrozbou [9]. Úroveň rizik se porovnává s kritérii hodnocení a s kritérii akceptace rizik. Nahromadění většího množství nízkých nebo středních rizik může vyústit ve vyšší celková rizika. Při hodnocení rizik bychom měli zvažovat vlastnosti bezpečnosti informací a důležitost procesu nebo aktiv ohrožených rizikem. Výsledkem hodnocení rizik by měl být seznam rizik se stanovenou prioritou [11]. 4.3 Ošetření rizik V tomto procesu jsou vybrána opatření k redukci, podstoupení, vyhnutí se nebo sdílení rizik. Pro ošetření rizik můžeme použít jednu z následujících čtyř voleb: modifikace rizika, podstoupení/akceptace rizika, vyhnutí se riziku a sdílení rizika. Tyto čtyži způsoby ošetření rizika se vzájemně nevylučují a vybírají se na základě informací z posouzení rizik, očekávaných nákladů na implementaci a očekávaných přínosů. Je potřeba zvážit ekonomickou únosnost jednotlivých opatření. Některé z těchto způsobů mohou řešit více než jedno riziko. 28

49 4.4. Akceptace rizik Výstupem procesu ošetření rizik by měl být plán ošetření rizik a zbytková rizika, která vyžadují od vedení organizace rozhodnutí o akceptaci [11] Modifikace rizika Při tomto procesu dochází k úpravě opatření tak, aby výsledné riziko bylo pro danou organizaci akceptovatelné. Může se jednat i o odstranění opatření nebo nahrazení jiným opatřením [11], jestliže původní opatření bylo vzhledem k ceně aktiva příliš drahé Podstoupení rizika Pokud úroveň rizika splňuje kritéria pro akceptaci rizik, lze riziko podstoupit a nepřijímat žádná další opatření. Toto rozhodnutí by mělo být učiněno v závislosti na hodnocení rizik [11] Vyhnutí se riziku Pokud jsou identifikovaná rizika příliš vysoká nebo náklady na uplatnění jiných způsobů ošetření rizik převyšují přínosy, může se organizace riziku vyhnout tak, že upustí od existující nebo plánované činnosti (nebo změní podmínky provozu této činnosti) tak, aby riziko bylo eliminováno [11] Sdílení rizika Tento způsob ošetření rizik zahrnuje rozhodnutí sdílet určitá rizika s externími stranami, které mají účinné prostředky pro jeho zvládnutí. Sdílením rizik však mohou vzniknout rizika nová nebo může dojít ke změně stávajících rizik [11]. Při tomto způsobu ošetření rizik je tedy nutné provést znovu analýzu, hodnocení a případně ošetření rizik. 4.4 Akceptace rizik Akceptace rizika je činnost, při které je posuzována hodnota aktiva, velikost zbytkového rizika, cena opatření a kritéria organizace pro akceptaci rizika. Za určitých okolností je možné akceptovat větší zbytkové riziko, než určují kritéria. Jedná se například o situace, kdy jsou velké přínosy doprovázející toto riziko. Takto akceptovaná rizika by měla být řádně okomentována odpovědnými osobami a pokud se vyskytují častěji, měla by být přezkoumána kritéria akceptace rizik [11]. 29

50 4. Řízení rizik bezpečnosti informací 4.5 Komunikace rizik Proces komunikace a konzultace rizik vede k získání dohody, jak řídit rizika sdílením (nebo výměnou) informací o nich. Pro tuto část řízení rizik je nejdůležitější, aby si všechny zainteresované strany vyměňovaly informace o rizicích a/nebo je sdílely. Informace o rizicích zahrnují: existenci rizik, jejich charakter, formu, pravděpodobnost, závažnost, ošetření a přijatelnost. Měly by existovat plány komunikace jak pro běžné činnosti, tak pro nouzové situace [11]. Komunikace se provádí převážně za účelem: poskytnout ujištění o výsledku řízení organizace rizik shromažďování informací o rizicích sdílení výsledků plynoucích z posouzení rizik a prezentace plánu jejich ošetření vyhnutí se nebo snížení výskytu a následku narušení bezpečnosti informací podpory činit rozhodnutí získávání nových znalostí o bezpečnosti informací koordinace zúčastněných stran poskytování pocitu odpovědnosti za rizika zvyšování povědomí [11]. 4.6 Monitorování a přezkoumání rizik Tento proces řízení rizik tvoří dvě činnosti: monitorování a přezkoumávání rizikových faktorů, a monitorování, přezkoumávání a zlepšování řízení rizik Monitorování a přezkoumávání rizikových faktorů Při této činnosti jsou monitorována a přezkoumávána rizika a jejich faktory (aktiva, hrozby, dopady, zranitelnosti, pravděpodobnost výskytu) tak, aby bylo možné co nejdříve identifikovat jakékoli změny a udržovat aktuální přehled rizik [11]. Organizace musí zajistit neustálé monitorování zejména: 30 nových aktiv změn hodnot aktiv nových hrozeb incidentů bezpečnosti informací [11].

51 4.6. Monitorování a přezkoumání rizik Výstup této činnosti může být vstupem pro podrobnější posouzení a ošetření rizik, která se provádí pravidelně a vždy, pokud dojde k větším změnám [11] Monitorování, přezkoumávání a zlepšování řízení rizika Cílem této činnosti je zajistit, že kontext, výstupy z posouzení a ošetření rizik a plány řízení jsou v souladu a přiměřené okolnostem [11]. Organizace by měla zajistit pravidelné prověřování hlavně: hodnoty a kategorie aktiv kritérií dopadu kritérií vyhodnocení rizik kritérií akceptace rizik nutných zdrojů [11]. Výstupem tohoto procesu je neustálá platnost procesu řízení rizik bezpečnosti informací [11]. 31

52

53 Kapitola 5 Tvorba prohlášení o aplikovatelnosti Prohlášení o aplikovatelnosti je prohlášení vrcholného managementu, které popisuje cíle bezpečnostních opatření i jednotlivá bezpečnostní opatření, která jsou v rámci ISMS organizace aplikována. Podle ČSN ISO/IEC 27001:2006 je prohlášení o aplikovatelnosti nezbytnou součástí dokumentace ISMS. Prohlášení o aplikovatelnosti musí obsahovat: cíle opatření a jednotlivá bezpečnostní opatření a důvody pro jejich výběr cíle opatření a jednotlivá bezpečnostní opatření, která jsou v organizaci již implementována vyloučené cíle opatření a jednotlivá bezpečnostní opatření (uvedená v příloze A ČSN ISO/IEC 27001:2006), včetně zdůvodnění pro jejich vyloučení [1]. Prohlášení o aplikovatelnosti by se mělo odkazovat na existující dokumentaci ISMS v organizaci. Prohlášení o aplikovatelnosti tedy představuje obdobu příručky kvality v systémech managementu kvality. Jeho struktura není normou specifikována. Je žádoucí, aby prohlášení zachovávalo strukturu normy 27001, která je obdobná jako u normy ČSN EN ISO Usnadňuje se tak případné sjednocení dokumentace obou (i dalších) systémů managementu a provádění auditů, ať už interních nebo auditů vykonávaných druhou a třetí osobou [2]. Samotné prohlášení o aplikovatelnosti má obvykle podobu tabulky, ve které jsou uvedeny jednotlivé kapitoly z přílohy A, a jejich jednotlivé články a podčlánky, ke kterým je uveden název název, cíl, opatření a aplikace, případně poznámka. Kapitol je celkem jedenáct (5 až 15). Kapitoly a jejich cíle: 33

54 5. Tvorba prohlášení o aplikovatelnosti A.5 Bezpečnostní politika cíl: určit směr a vyjádřit podporu bezpečnosti informací ze strany vedení v souladu s požadavky organizace, příslušnými zákony a směrnicemi A.6 Organizace bezpečnosti informací cíl: řídit bezpečnost informací v organizaci a to i v případě, kdy prostředky pro zpracování informací jsou přístupné externím subjektům A.7 Řízení aktiv cíl: nastavit a udržovat přiměřenou ochranu aktiv organizace A.8 Bezpečnost lidských zdrojů cíl: zajistit, aby zaměstnanci, smluvní a třetí strany si byli vědomi bezpečnostních hrozeb a problémů s nimi spojených, aby byli srozuměni se svými povinnostmi, aby pro jednotlivé role byli vybráni vhodní kandidáti a zajistit, aby ukončení nebo změna pracovního vztahu proběhla řádným způsobem A.9 Fyzická bezpečnost a bezpečnost prostředí cíl: předcházet neautorizovanému fyzickému přístupu do vymezených prostor, poškození a zásahům do provozních budov a informací a předcházet ztrátě, poškození, krádeži nebo kompromitaci aktiv a přerušení činnosti organizace A.10 Řízení komunikací a řízení provozu Cíle v této kapitole jsou velmi rozsáhlé, patří mezi ně např.: zajištění, zavedení a udržování přiměřené úrovně bezpečnosti informací, minimalizace rizika selhání systémů, zajištění ochrany informací v počítačových sítích nebo předcházení neoprávněnému zacházení s aktivy. A.11 Řízení přístupu cíl: řídit přístup k informacím a předcházet neoprávněnému přístupu, vyzrazení nebo krádeži informací a prostředků pro zpracování informací A.12 Akvizice, vývoj a údržba informačních systémů Cíle v této kapitole jsou rozsáhlé a patří mezi ně zejména zajistit, aby se bezpečnost stala neoddělitelnou součástí informačních systémů a zajištění ochrany důvěrnosti, autentičnosti a integrity informací. A.13 Zvládání bezpečnostních incidentů cíl: zajistit nahlášení bezpečnostních incidentů způsobem, který umožní včas zahájit kroky vedoucí k nápravě a zajistí účinný přístup ke zvládání bezpečnostních incidentů A.14 Řízení kontinuity činnosti organizace cíl: zabránit přerušení provozních činností a ochrana kritických procesů před následky závažných selhání informačních systémů nebo katastrof a obnova činnosti A.15 Soulad s právními požadavky cíl: zajistit shodu systémů s právními normami, zákonnými a smluvními povinnostmi, bezpečnostními politikami organizace a normami 34

55 Kapitola 6 Postup zavádění ISMS do firmy V této kapitole stručně popíši metodiku zavádění ISMS do firmy. Tyto základní informace budou rozvedeny a prakticky ukázány v implementační části práce. Zavádění ISMS probíhá v 6, resp. v 7 krocích, jak ukazuje postupový diagram (viz obrázek 6.1 ). Prvním krokem je rozhodnutí managementu zavést ISMS. Jedná se o strategické rozhodnutí. Měli by o něm být informováni všichni zaměstnanci a management by měl vyjádřit jasnou podporu k realizaci ISMS. Ve druhém kroku organizace definuje rozsah a hranice ISMS. Tento krok je prováděn, aby bylo zajištěno, že budou v dalších krocích brána v úvahu všechna příslušná aktiva. Zároveň mohou být některé oblasti z ISMS vyjmuty, toto rozhodnutí však musí být zdůvodněno a zaznamenáno [11]. Třetím krokem je stanovení bezpečnostní politiky organizace. V bezpečnostní politice jsou stanovena kritéria pro hodnocení rizik, požadavky na organizace (i zákonné) a je vytvořen rámec pro stanovení cílů bezpečnosti a pro činnosti, které se informační bezpečnosti týkají [1]. Politiku bezpečnosti by měli obdržet všichni zaměstnanci a měli by ji aplikovat při každodenní praxi [11]. Ve čtvrtém kroku probíhá management rizik tak, jak je popsán v kapitole 4. Stanovuje se kontext, hodnotí, ošetřují a akceptují se rizika. V pátém kroku dochází k vlastní implementaci ISMS vytvořením příslušné dokumentace, formulářů a prohlášení o aplikovatelnosti. Šestý krok je samotný provoz ISMS, tedy přezkoumání, monitorování a údržba ISMS. Provoz probíhá v PDCA cyklu a jeho výsledkem je zlepšování celého systému. Sedmý krok není pro zavádění ISMS nutný, jedná se o certifikaci ISMS s následnými dozory a recertifikacemi. 35

56 6. Postup zavádění ISMS do firmy Obrázek 6.1: Postup zavádění ISMS 36

57 Část II Implementační část 37

58

59 Kapitola 7 Popis organizace V této části je popsán stav společnosti z pohledu ISMS. Protože ISMS patří mezi citlivé údaje, je společnost anonymizována a v dalším textu bude vystupovat pod pseudonymem AlenkaSoftware. AlenkaSoftware je česká firma zabývající se vývojem a správou software. Má pobočku v Severní Americe a tři virtuální kanceláře v evropských zemích. Virtuální kanceláře jsou pouze kontaktní místa, pošta je přeposílána do ČR a telefonní linky jsou přesměrovány do firemní centrály v ČR. Pobočka v Severní Americe nepracuje s daty klientů. Sídlí v kancelářské budově s trvalou ostrahou a elektronickým zabezpečovacím systémem (dále EZS). Tato pobočka má 2 5 konzultantů, kteří pomáhají klientům s implementací. Bezpečnost pobočky v Severní Americe je ošetřena výběrem pracovníků a vysokými smluvními pokutami pro případ úniku dat. Firma sídlí ve 4. patře kancelářské budovy s ostrahou 24/7. Vstup do budovy je volně otevřený v době 6 21 hodin, mimo tuto dobu je vstup umožněn pouze oprávněným osobám (vstupní dveře otevírá ostraha). Vstup do zbytku budovy je na čipové karty přes turnikety. Ty jsou umístěné proti společné vrátnici. Případné návštěvy jsou zapisovány do knihy návštěv a obdrží návštěvnickou kartu. Přístup do pater je pouze výtahy, schodiště je jen evakuační. Vstup do firemních prostor je přes dveře umístěné proti firemní recepci a to buď na kartu shodnou s kartou pro turnikety (neplatí pro návštěvnické karty) nebo elektronickým otevřením dveří z recepce. Druhý vstup do firmy je nákladním výtahem, který ani v přízemí ani v patře není v dohledu recepce. Výtah je od prostor firmy oddělen dveřmi otevíranými na kartu, na vnější straně dveří je koule, zevnitř klika. Ve firemních prostorách je nainstalováno EZS, které však obvykle není v chodu z důvodu přítomnosti některého z pracovníků. Firma sdílí prostory se svojí servisní organizací AlenkaServices. Servery a síť jsou umístěné v prostorách firmy, jejich správa je outsourcouvána a prováděna firmou AlenkaServices. AlenkaSoftware vlastní firemní síťové tiskárny. Uzavřená smlouva neobsahuje dodatek o mlčenlivosti a neuvádí jména zaměstnanců s přístupem k síťové infrastruktuře. Zaměstnanci 39

60 7. Popis organizace používají notebooky (celkem 55 ve správě AlenkaServices) bez šifrovaných disků, a vlastní mobilní telefony i pro šifrovanou komunikaci se servery. Mobilní telefony mají dálkové ovládání určené pro vymazání dat v případě jejich ztráty nebo odcizení. Konektivita je zajišťována optickým kabelem a rádiovým přenosem, vnitřní síť je realizovaná prostřednictvím chráněné wi-fi. Softwarové kódy jsou v průběhu vývoje chráněné standardním zálohováním. Kódy k programům předaným zákazníkům jsou v advokátní úschově. Jsou stanoveny podmínky pro uvolnění zákazníkovi pro případ nefunkčnosti firmy. Kódy v advokátní úschově jsou zašifrované a zákazník má kód pro rozšifrování. Firma je certifikovaná podle ISO Interní audity provádí druhá osoba (externí auditor) jednou ročně. Výchozí stav společnosti byl zjištěn při vstupním auditu ISMS. 40

61 Kapitola 8 Rozhodnutí managementu Toto rozhodnutí je vyžadováno normou a jde i o logický krok. Jedná se o samotnou inicializaci zavádění ISMS v organizaci. Při jeho přijmutí musí management počítat se změnou organizace práce, se zvýšenými časovými nároky jak na management, tak zaměstnance, na nutné práce v rámci zavádění a s finančním pokrytím akce. Mimořádně důležité je informovat zaměstnance o tomto rozhodnutí tak, aby se vůči ISMS nestavěli negativně. V AlenkaSoftware bylo přijato rozhodnutí o implementace ISMS 26. září 2013 s cílem vytvořit analýzu rizik do poloviny prosince 2013 a získat certifikaci do konce března Zaměstnanci byli o zavádění ISMS informováni pomocí u. Také byl svolán meeting, na kterém byla vysvětlena strategie firmy ohledně ISMS a zodpovězeny případné dotazy. Se zaměstnanci, kteří jsou pro zavádění a provoz ISMS klíčoví, byly vedeny další schůzky. Na těchto schůzkách byly probrány jejich nové kompetence a nové úlohy, z těchto jednání byl učiněn zápis tak, aby bylo možné doložit, že byl každý správně seznámen s novou rolí, viz kapitola 1 (požadavky na dokumentaci). Management, po vyhodnocení nákladnosti procesu závádění ISMS, rozhodl o jeho financování z operativních zdrojů bez potřeby vytváření speciálního fondu. Z hlediska organizace práce a času managementu bylo rozhodnuto o rozšíření povinností managera kvality i na zavádění a provoz ISMS. Manager kvality byl poslán na pětidenní školení managera ISMS. Toto školení bylo placeno z peněz určených na školení a vzdělávání zaměstnanců. Dále byla uzavřena smlouva s konzultační firmou zabývající se zaváděním ISMS. Při volbě konzultační firmy bylo přihlíženo k jejím zkušenostem a k finančním požadavkům. 41

62

63 Kapitola 9 Stanovení rozsahu a hranic ISMS V tomto kroku byly, ve spolupráci s konzultační firmou, určeny hranice a rozsah ISMS. 9.1 Centrála AlenkaSoftware Fyzický perimetr Hranice fyzického perimetru centrály jsou vymezeny částečně pláštěm budovy s 26 okny a zdí oddělující firmu od zbytku budovy se dvěma vstupy. Hlavn ím vstupem jsou dveře umístěné proti recepci, vedlejší vstup do firmy je nákladním výtahem odděleným od prostor firmy dveřmi. Výtah ani dveře nejsou v dohledu recepce. V těchto hranicích sídlí také servisní organizace firmy, AlenkaServices. Ve společných prostorách jsou umístěné síťové tiskárny bez autentizace uživatele. Kódy jsou během vývoje chráněny standardním zálohováním. Kódy dokončených programů jsou v advokátní úschově s jasně definovanými podmínkami, za kterých mohou být předány zákazníkovi. Fyzické (papírové) složky s citlivými údaji (osobní údaje zaměstnanců) jsou uchovávány v dřevěné skříni. Stávající opatření fyzického perimetru Prostory firmy jsou zabezpečené pomocí EZS, které však obvykle není v chodu z důvodu přítomnosti některého z pracovníků. Hlavní vstup je otevíraný zaměstnaneckou kartou nebo elektronicky z firemní recepce. Vedlejší vstup je otevírán zaměstnaneckou kartou, dveře mají zvenčí kouli, zevnitř kliku. 43

64 9. Stanovení rozsahu a hranic ISMS Zálohování kódů u probíhajících projektů je na přenosná šifrovaná média, která jsou umisťována do bankovní úschovy. Dokončené softwarové jednotky (kódy) jsou uložené v advokátní úschově. Jsou šifrované a zákazník má klíč pro rozšifrování. Kódy jsou zákazníkovi z advokátní úschovy vydány podle jasně definovaných pravidel (např. při insolvenci firmy). Listiny jsou uložené v uzamykatelné dřevěné skříni. Logický perimetr Do logického perimetru patří servery a vnitřní síť firmy, zaměstnaneckými počítači a telefony. Její hranice jsou vymezeny rozhraním routeru, konektivita je zajišťována optickým kabelem a rádiovým přenosem, vnitřní síť je realizovaná prostřednictvím wi-fi (ta sahá mimo hranice fyzického perimetru). Správa serverů a sítí je řešena outsourcingem. Zaměstnanci používají notebooky (celkem 55) bez šifrovaných disků, a vlastní mobilní telefony i pro šifrovanou komunikaci se servery. Stávající opatření logického perimetru Komunikace mobilních telefonů se serverem je šifrovaná. Mobilní telefony mají dálkové ovládání určené pro vymazání dat v případě jejich ztráty nebo odcizení. Wifi je chráněna pomocí WPA2-PSK. Router je vybaven firewallem. Servery a stanice jsou opatřeny antivirovými programy. 9.2 Pobočky AlenkaSoftware Virtuální kanceláře AlenkaSoftware Fyzický perimetr Virtuální pobočky fyzický perimetr nemají. Jedná se pouze o místo pro korespondenční nebo telefonický kontakt. Korespondence je pomocí poštovních služeb přeposílána (dosílána) do centrály AlenkaSoftware a telefon je automaticky na ústředně přesměrován také do centrály. Stávající opatření fyzického perimetru Vzhledem k neexistenci hranic fyzického perimetru nebyla zavedena žádná opatření. 44

65 9.2. Pobočky AlenkaSoftware Logický perimetr Hranice logického perimetru je vymezena poštovními a telefonními službami. Není v silách firmy jej jakkoli ovlivnit, s výjimkou změny dodavatele. Není zde pracováno s citlivými údaji klientů. Jedná se pouze o prvotní informace v rámci navazování obchodních vztahů. Stávající opatření logického perimetru Opatření týkající se logického perimetru jsou zajišťována dodavateli služeb Pobočka AlenkaSoftware v Severní Americe Fyzický perimetr Hranice fyzického perimetru jsou vymezeny stěnami kanceláře, která má dvě okna a jedny vstupní dveře. Kancelář je zabezpečena EZS. Dveře mají zevnitř kliku a zvenčí kouli, lze je otevřít pomocí klíče. Klíče má každý zaměstnanec této pobočky. Není zde recepce. Firemní prostory nejsou sdílené s jinou firmou. Stávající opatření fyzického perimetru Kancelář je zabezpečena EZS. Vstupní dveře mají zevnitř kliku a zvenčí kouli, lze je otevřít pomocí klíče. Klíče má každý zaměstnanec této pobočky. Logický perimetr Hranice logického perimetru jsou vymezeny síťovým připojením k internetu a vnitřní sítí. Konektivita je zajištěna vnitřními rozvody v budově. O jejich další konektivitu a zabezpečení se stará správa kancelářské budovy. Vnitřní síť je realizovaná pomocí wi-fi (zasahuje mimo hranice fyzického perimetru). V kanceláři není pracováno s daty klientů. Pracovníci provádějí konzultační činnost přímo u zákazníků, zde je riziko ztráty dat zákazníka a případně vyzrazení důvěrných informací (ošetřeno smluvně vysokými pokutami). Stávající opatření logického perimetru Wi-fi je chráněna za použití stejného zabezpečení jako na centrále. Notebooky zaměstnanců jsou vybaveny antivirovým programem. Ztráta dat zákazníka opatření pro tuto situaci je dvojí. Jedná se o pečlivý výběr dostatečně kvalifikovaných zaměstnanců, a při konzultaci v prostorách zákazníka tito zaměstnanci vycházejí z jeho bezpečnostních opatření. 45

66 9. Stanovení rozsahu a hranic ISMS Vyzrazení důvěrných dat zákazníků je ošetřeno v první řadě pečlivým výběrem zaměstnanců. Pracovní smlouva obsahuje vysoké pokuty pro případ vyzrazení důvěrných dat. 46

67 Kapitola 10 Stanovení bezpečnostní politiky Při zavádění ISMS je třetím krokem stanovení bezpečnostní politiky. Dle kapitoly 5 normy ČSN ISO/IEC 27001:2006, viz kapitola 1 této práce, bezpečnostní politiku ustanovuje management organizace jako součást plnění závazku vedení. Vedení ustanovilo politiku ISMS, viz část Management AlenkaSoftware určil pro zavádění ISMS tyto krátkodobé cíle: provedení analýzy rizik přijmutí opatření nutných pro zavedení ČSN ISO/IEC 27001:2006 získání certifikace ISMS dle ČSN ISO/IEC 27001:2006 do konce března 2014 Kromě závazků uvedených v politice bezpečnosti se vedení zavázalo plnit také tyto činnosti: pravidelné přezkoumávání metodiky analýzy rizik (viz část ) pravidelně vykonávat analýzu rizik (viz část ) aktualizovat kritéria akceptace rizik (viz část ) pravidelně přezkoumávat a přijímat bezpečnostní opatření 10.1 Politika bezpečnosti AlenkaSoftware s.r.o. Vedení společnosti AlenkaSoftware, s.r.o., vyhlašuje tuto strategii systému řízení bezpečnosti informací: Kdo jsme a co děláme: Jsme softwarová společnost, která se specializuje na (utajeno). Společnost byla založena v roce 2010 a je součástí skupiny Alenka Group. 47

68 10. Stanovení bezpečnostní politiky Jak chápeme bezpečnost informací: Informace, které jsou majetkem společnosti nebo našich zákazníků, mají zásadní význam pro chod společnosti i pro spolupráci se zákazníky a partnery. Společnost AlenkaSoftware s.r.o. je odpovědná za jejich ochranu proti ztrátě a zneužití. Základní principy politiky: bezpečnosti informací vycházejí z deklarování společnosti jako: Security Company zajišťování bezpečnosti při spolupráci se zákazníky a obchodními partnery Knowledge Company zajišťování bezpečného přístupu a manipulace s informacemi Základní a dlouhodobé cíle politiky bezpečnosti informací zajišťují: 1. Integritu informací, majetku a procesů 2. Důvěrnost informací, majetku a procesů 3. Dostupnost informací, majetku a procesů Realizace těchto cílů je zajišťována definováním bezpečnostních standardů, norem a pravidel, jejich implementací a kontrolou. Společnost AlenkaSoftware s.r.o. a její vedení se zavazují k zavedení všech bezpečnostních opatření směřujících ke splnění cílů a principů v oblasti bezpečnosti informací. Zavedené bezpečnostní zásady, principy a požadavky pro organizaci a její zaměstnance jsou definovány v interních nařízeních a bezpečnostních směrnicích. Obsahují zejména: Dodržování právních předpisů a smluvních požadavků Základní znalosti o používání svěřených předmětů Prevence a detekce programového vybavení a jeho zabezpečení Plánování kontinuity činností organizace Důsledky při porušení bezpečnostních zásad Základní pravidla, jejichž dodržování je striktně vyžadováno u všech pracovníků firmy jsou: 48 činnost nepřekračující vymezené pravomoci a odpovědnosti politika čistého stolu a prázdné obrazovky

69 10.1. Politika bezpečnosti AlenkaSoftware s.r.o. mlčenlivost o všem, co se ve firmě a u jejích zákazníků děje zásada přiznaná chyba je poloviční chyba, zatajená chyba je hrubé porušení pracovní kázně S plným vědomím toho, že největší nebezpečí pro ISMS představuje lidský faktor, vyžadujeme plnění těchto pravidel i od externistů, kteří se ve firmě pohybují. 49

70

71 Kapitola 11 Management rizik 11.1 Stanovení kontextu Stanovení kontextu sestává ze tří kroků (viz část 4.1): z určení základních kritérií, stanovení rozsahu a hranic a ze stanovení organizační struktury. Hranice firmy byly určeny v kapitole Určení základních kritérií Zavádění a provoz ISMS, včetně všech dílčích kroků, budou financovány z operativních zdrojů. Nebude vytvářen žádný nový fond. Budou identifikována všechna rizika, která mohou proniknout fyzickými a logickými hranicemi AlenkaSoftware, o jejich případné akceptaci bude rozhodovat management firmy. Rizika budou přezkoumávána v šestiměsíčních intervalech a vždy, když se změní fyzické nebo logické hranice, nebo pokud dojde k bezpečnostnímu incidentu. Rizika budou hodnocena metodou vycházející z FMEA (metoda FMEA viz část a provedení viz část ). Pro akceptaci rizika byl určen interval RPN <17, v intervalu (včetně) musí riziko posoudit a případně akceptovat management, nad hodnotu RPN >27 nelze riziko akceptovat a musí být přijata opatření. Pro potřeby AlenkaSoftware je pravděpodobnost odhalení vady nazýváno síla opatření, pravděpodobnost výskytu vady je závažnost hrozby a význam vady je cena aktiva Organizační struktura V čele organizační struktury stojí ředitel, pod kterého přímo spadají dva náměstci: technický a ekonomický. Pod technického náměstka spadá manažer kvality (pověřen také zaváděním a provozem ISMS), vedoucí vývoje, vedoucí servisu a vedoucí implementace. Pod ekonomického náměstka spadají zahra- 51

72 11. Management rizik Generálníředitel TechnickýNáměstek EkonomickýNáměstek Manažerkvality Zahraničnípobočky Konzultanti Ve douc í obc hodu Ve douc í v ýv oje Ve douc í serv isu Ve douc í impleme ntace Obrázek 11.1: Organizační struktura firmy niční pobočky jako celek, konzultanti a vedoucí obchodu. Organizační struktura je znázorněna na obrázku Posouzení rizik Identifikace rizik Identifikace a hodnocení aktiv Pověření pracovníci, ve spolupráci s konzultační firmou, identifikovali aktiva v kategoriích: lidé, procesy a služby, software a fyzické položky. Všem aktivům byl přiřazen vlastník. Samotné hodnocení aktviv je vidět v tabulkách 11.1, 11.2, 11.3 a Tabulka 11.1: Hodnocení aktiv lidé (Lidé jako aktivum vlastní sami sebe) Aktivum a počet položek Hodnota management 4 4 vývojáři 35 3 servis 17 5 obchod a konzultanti 13 5 backoffice

73 11.2. Posouzení rizik Tabulka 11.2: Hodnocení aktiv Procesy a služby Aktivum Vlastník Hodnota práce konzultantů ekonomický náměstek 5 práce obchodníků vedoucí obchodu 4 procesy řízení kvality a bezpečnosti informací manažer kvality 3 vývoj SW vedoucí vývoje 3 servis SW vedoucí servisu 4 obchodní informace vedoucí obchodu 5 osobní údaje zaměstnanců ekonomický náměstek 5 důvěrné údaje obchodních partnerů vedoucí obchodu 5 účetnictví ekonomický náměstek 5 dokumentace k projektům vedoucí vývoje 4 dokončené SW kódy technický náměstek 4 elektronická pošta vedoucí servisu 3 webové stránky AlenkaSoftware pověřený konzultant 3 know-how AlenkaSoftware 5 dobré jméno AlenkaSoftware AlenkaSoftware 5 zálohy dat vedoucí vývoje 4 data zákazníků (při práci u zákazníka) vedoucí implementace 5 Tabulka 11.3: Hodnocení aktiv Software Aktivum Vlastník Hodnota OS Linux vedoucí servisu 2 OS Windows 7 a 8 vedoucí servisu 2 OS Solaris vedoucí servisu 2 Antivirový program ESET vedoucí servisu 2 Síťový software vedoucí servisu 2 Kancelářský SW Microsoft Office 2010, vedoucí servisu 2 Enterprise Architect, Power Designer, Eclipse, Java, Adobe, Dropbox, Skype, ICQ Databáze pro testy: Oracle DB, MS SQL vedoucí vývoje 2 Aplikační SW: Sugar CRM, Google Apps vedoucí obchodu 2 53

74 11. Management rizik Tabulka 11.4: Hodnocení aktiv Fyzické položky Aktivum (centrála + pobočka Vlastník Hodnota v Severní Americe) notebooků příslušný zaměstnanec 3 5 mobilních telefonů (pobočka příslušný konzultant v SA 2 v SA) 1 PC (recepční) recepční serverů technický náměstek síťové disky vedoucí servisu x SIM karty příslušný zaměstnanec síťových tiskáren vedoucí servisu + určený konzultant scannery vedoucí servisu + určený konzultant kopírky vedoucí servisu + určený konzultant dataprojektory 2 vedoucí obchodu, 1 vedoucí 3 vývoje + 1 určený konzultant 1 interaktivní tabule vedoucí vývoje 4 30 přenosných disků na zálohování technický náměstek wi-fi routery Cisco vedoucí servisu + pověřený 2 konzultant kanceláře a jejich vybavení vedoucí servisu + určený konzultant 3 listinná dokumentace uživatel 3 elektronické vstupní karty uživatel 3 54

75 11.2. Posouzení rizik Identifikace hrozeb Pro identifikaci hrozeb byla použita informativní příloha C normy ČSN ISO/IEC 27005:2013. U každé hrozby byl také stanoven, ve shodě s normou, její zdroj: náhodný (A Accidental), úmyslný (D Deliberate) a environmentální (E environmental). Hrozby nebyly nijak rozdělovány. požár možné zdroje: A, D, E poškození vodou možné zdroje: A, D, E znečištění možné zdroje: A, D, E závažná nehoda možné zdroje: A, D, E zničení zařízení nebo médií možné zdroje: A, D, E prach, koroze, zamrznutí možné zdroje: A, D, E povodeň možné zdroje: E selhání klimatizace možné zdroje: A, D selhání dodávky vody možné zdroje: A, D, přerušení dodávky elektřiny možné zdroje: A, D, E selhání telekomunikačních zařízení možné zdroje: A, D elektromagnetické záření možné zdroje: A, D, E termální záření možné zdroje: A, D, E elektromagnetické impulzy možné zdroje: A, D, E zachycení kompromitujících interferenčních signálů možné zdroje: D vzdálená špionáž možné zdroje: D odposlech možné zdroje: D krádež médií nebo dokumentů možné zdroje: D zprovoznění recyklovaných nebo vyřazených médií možné zdroje: D vyzrazení možné zdroje: A, D data pocházející z nedůvěryhodných zdrojů možné zdroje: A, D falšování pomocí technického vybavení možné zdroje: D falšování pomocí aplikačního programového vybavení možné zdroje: A,D 55

76 11. Management rizik odhalení pozice možné zdroje: D selhání zařízení možné zdroje: A chybné fungování zařízení možné zdroje: A přetížení informačního systému možné zdroje: A, D chybné fungování programového vybavení možné zdroje: A chyba údržby možné zdroje: A, D neoprávněné použití zařízení možné zdroje: D podvodné kopírování aplikačního programového vybavení možné zdroje: D použití padělaného nebo zkopírovaného aplikačního programového vybavení možné zdroje: A, D poškození dat možné zdroje: A, D nezákonné zpracování dat možné zdroje: D chyba v používání možné zdroje: A zneužití oprávnění možné zdroje: A, D falšování práv možné zdroje: D odepření činností možné zdroje: D nedostatek personálu možné zdroje: A, D, E nemoc možné zdroje: A zcizení možné zdroje: D Identifikace stávajících opatření Stávající opatření jsou popsána v kapitole 9. Identifikace zranitelnostní V AlenkaSoftware byly, ve spolupráci s konzultační firmou, identifikovány tyto možné zranitelnosti: 56 možnost nesprávného pracovního postupu zaměstnanců nedostatečná ochrana fyzických hranic žádné zabezpečovací zařízení nedostatečná ochrana vedlejšího vstupu

77 11.2. Posouzení rizik nedostačující informace o vstupujících návštěvách nedostatečně chráněný přístup k síťovým tiskárnám nedostatečné fyzické zabezpečení fyzických (papírových) složek (data zaměstnanců, obchodní smlouvy) citlivost HW na elektromagnetické záření citlivost HW na vlhkost, prach, zašpinění nedostatečná evidence zaměstnanců AlenkaServices, kteří mají k HW přístup citlivost HW na změny napětí citlivost HW na změny teploty známé chyby v SW chybné přiřazení přístupových práv neznámé chyby v SW nejasné/neúplné zadání pro vývojáře onemocnění pracovníka odchod pracovníka (výpověď) nedostatečná kontrola mobilních zařízení mimo kancelář nedostatečné zajištění písemných složek proti požáru nesprávné použití zařízení umístění v blízkosti vodovodního potrubí nespokojený pracovník hořlavost materiálů závislost na elektrické energii závislost na veřejných telekomunikačních sítích chybné nastavení zařízení chybné používání zařízení neznámé chyby HW 57

78 11. Management rizik Identifikace následků Při působení hrozeb na zranitelná aktiva může v AlenkaSoftware dojít k těmto následkům: zničení dat odcizení dat poškození dat ztráta know-how zničení papírové dokumentace odcizení papírové dokumentace poškození papírové dokumentace poškození dobrého jména AlenkaSoftware poškození HW odcizení HW zničení HW poškození SW podvodné jednání jménem AlenkaSoftware vyzrazení citlivých údajů o zákaznících ztráta důvěry zákazníků porušení smluvních a/nebo zákonných opatření Analýza a hodnocení rizik Pro vyhodnocování a přijímání rizik byla vedením vybrána metodika vycházející z FMEA (viz část 3.2.3), s pětibodovou stupnicí. Místo pravděpodobnosti odhalení vady je v AlenkaSoftware používána síla opatření, na hodnotící škále od žádného po nepřekonatelné viz tabulka Význam vady je pro potřeby AlenkaSoftware nazýván hodnota aktiva. Hodnota aktiva může být vyjádřena jak v penězích, tak slovní škálou od nepatrné po velmi vysokou, viz tabulka Místo pravděpodobnosti výskytu vady je hodnocena závažnost hrozby od žádné po velmi velkou, viz tabulka V AlenkaSoftware byla samozřejmě analýza rizik provedena pro všechna výše identifikovaná aktiva (viz část ), jejich zranitelnosti a hrozby. Vzhledem k rozsahu této bakalářské práce zde nelze uvést kompletní analýzu rizik. Z každé skupiny aktiv jsem vybral dva zástupce a pro ně předkládám analýzu rizik. Postup analýzy je vždy shodný pro všechna aktiva. 58

79 11.2. Posouzení rizik Tabulka 11.5: FMEA-vyhodnocení opatření Síla opatření Kategorie žádné 5 slabé 4 středně silné 3 silné 2 nepřekonatelné 1 Tabulka 11.6: FMEA-vyhonocení ceny aktiva Cena aktiva Kategorie nepatrná < Kč 1 malá < Kč 2 běžná < Kč 3 velká < Kč 4 velmi vysoká > Kč 5 Tabulka 11.7: FMEA-vyhodnocení závažnosti hrozby Závažnost hrozby Kategorie žádná 1 malá 2 stření 3 velká 4 velmi velká 5 Procesy a služby Jako zástupce aktiv z kategorie procesů a služeb jsem si vybral důvěrné údaje obchodních partnerů (viz tabulka 11.8). Hodnota tohoto aktiva je 5, jeho vlastníkem je vedoucí obchodu. Druhým aktivem v této kategorii jsou osobní údaje zaměstnanců, viz tabulka Hodnota tohoto aktiva byla stanovena také na 5, vlastníkem je ekonomický náměstek. Hodnota RPN je vypočítána vždy zvlášť pro každou hrozbu, která má svoji zranitelnost. V tabulce tedy hodnoty RPN uvádím pouze u hrozeb, které mohou proniknout konkrétní zranitelností. Software Jako zástupce aktiv z kategorie softwaru jsem si vybral operační systém Linux, viz tabulka Hodnota tohoto aktiva je 2, jeho vlastníkem je vedoucí servisu. Druhým aktivem, které jsem si v této kategorii vybral, jsou databáze pro testy, viz tabulka Hodnota tohoto aktiva byla stanovena také na 2, vlastníkem je vedoucí vývoje. Hodnota RPN je vypočítána vždy zvlášť pro každou hrozbu, která má svoji zranitelnost. V tabulce tedy hodnoty RPN 59

80 11. Management rizik uvádím pouze u hrozeb, které mohou proniknout konkrétní zranitelností. Fyzické položky Jako zástupce aktiv z kategorie fyzických položek jsem zvolil vstupní kartu (viz tabulka 11.12). Hodnota tohoto aktiva je 3, jeho vlastníkem je uživatel karty. Zranitelnosti pro kartu, kromě těch uvedených v tabulce, jsou citlivost hardware na elektromagnetické záření, odchod pracovníka, nesprávné použití zařízení, hořlavost materiálů. Hrozby pro tyto zranitelnosti jsou požár, závažná nehoda, elektromagnetické záření a elektromagnetické impulzy. Při působení těchto hrozeb má vstupní karta nižší hodnotu (pouze cenu karty, tedy hodnotu 1). Protože při působení těchto hrozeb dojde buď k plnému zničení vstupní karty, nebo k vymazání dat, důsledkem těchto rizik není narušení bezpečnosti. RPN je tedy vždy nižší nebo rovná 25 a jednotlivé výpočty zde neuvádím. Čísla uvedená v tabulce pro výpočet RPN jsou v následujícím pořadí: hodnota aktiva, vyhodnocení opatření a závažnost hrozby. Druhým aktivem, které jsem si v této kategorii vybral, je PC, viz tabulka Hodnota tohoto aktiva byla stanovena na 2, vlastníkem jsou pracovníci back office. Z důvodu přehlednosti v této tabulce neuvádím konkrétní výpočty, ale pouze výslednou hodnotu RPN. Celé výpočty jsou uvedeny v souboru hodnoceni-aktiv.ods na přiloženém CD. Hodnota RPN je vypočítána vždy zvlášť pro každou hrozbu, která má svoji zranitelnost. V tabulce tedy hodnoty RPN uvádím pouze u hrozeb, které mohou proniknout konkrétní zranitelností. Lidé Jako zástupce aktiv z kategorie lidí jsem zvolil konzultanta, viz tabulka 11.14). Hodnota tohoto aktiva je 5 a vlastní sám sebe. Druhým aktivem, které jsem si v této kategorii vybral, je vývojář, viz tabulka Hodnota tohoto aktiva byla stanovena na 3 a vlastní sám sebe. Hodnota RPN je vypočítána vždy zvlášť pro každou hrozbu, která má svoji zranitelnost. V tabulce tedy hodnoty RPN uvádím pouze u hrozeb, které mohou proniknout konkrétní zranitelností. Čísla uvedená v tabulce pro výpočet RPN jsou v následujícím pořadí: hodnota aktiva, vyhodnocení opatření a závažnost hrozby. 60

81 11.2. Posouzení rizik Tabulka 11.8: Hodnocení rizik Data zákazníků požár vzdálená špionáž odposlech nesprávný pracovní x 5*2*2 5*2*2 5*2*3 5*2*1 x 5*2*1 5*2*3 postup =20 =20 =30 =10 =10 =30 nedostatečná x x x 5*4*2 x x 5*2*2 x ochrana fyzických =40 =20 hranic nedostatečně chráněný x x x 5*5*3 x x x x přístup k síťo- =75 vým tiskárnám nedostatečné zabezpečení x x x 5*3*2 x x 5*2*1 x papírových =30 =10 složek nedostatečná evidence x 5*5*3 5*5*2 x x x x x zaměstnanců =75 =50 AlenkaServices chybné přiřazení přístupových x 5*5*2 x x x x x x práv =50 odchod pracovníka x x x x 5*3*1 x x x =15 nedostatečná kontrola x x 5*5*3 5*5*1 x x x x mobilních =75 =25 zařízení mimo kancelář nedostatečné zajištění 5*4*1 x x x x x 5*1*1 x písemných =20 =5 složek proti požáru nespokojený pracovník x 5*5*4 =100 x 5*4*5 =100 5*5*4 =100 5*4*1 =20 5*4*4 =80 5*5*5 =125 krádež médií nebo dokumentů vyzrazení falšování poškození dat nezákonné zpracování dat 61

82 11. Management rizik Tabulka 11.9: Hodnocení rizik Osobní údaje zaměstnanců požár vzdálená špionáž odposlech nesprávný pracovní x 5*2*2 5*2*2 5*2*3 5*2*1 x 5*2*1 5*2*3 postup =20 =20 =30 =10 =10 =30 nedostatečná x x x 5*4*2 x x 5*2*2 x ochrana fyzických =40 =20 hranic nedostatečně chráněný x x x 5*5*3 x x x x přístup k síťo- =75 vým tiskárnám nedostatečné zabezpečení x x x 5*3*2 x x 5*2*1 x papírových =30 =10 složek nedostatečná evidence x 5*5*3 5*5*2 x x x x x zaměstnanců =75 =50 AlenkaServices chybné přiřazení přístupových x 5*5*2 x x x x x x práv =50 odchod pracovníka x x x x 5*3*1 x x x =15 nedostatečná kontrola x x 5*5*3 5*5*1 x x x x mobilních =75 =25 zařízení mimo kancelář nedostatečné zajištění 5*4*1 x x x x x 5*1*1 x písemných =20 =5 složek proti požáru nespokojený pracovník x 5*5*4 =100 x 5*4*5 =100 5*5*4 =100 5*4*1 =20 5*4*4 =80 5*5*5 =125 krádež médií nebo dokumentů vyzrazení falšování poškození dat nezákonné zpracování dat 62

83 11.2. Posouzení rizik Tabulka 11.10: Hodnocení rizik Linux data z nedůvěryhodných zdrojů chyba údržby neoprávněné použití zařízení poškození dat nesprávný pracovní postup 2*2*2 =8 2*3*3 =18 x 2*3*1 =6 známé chyby SW x x 2*4*2 2*2*1 =16 =4 chybné přiřazení přístupových 2*5*1 x 2*5*1 2*2*2 práv =10 =10 =8 neznámé chyby SW x x 2*5*1 2*5*1 =10 =10 nespokojený pracovník 2*5*3 x x 2*5*3 =30 = 30 neznámé chyby HW x x x 2*5*1 =10 chybné nastavení zařízení x 2*3*4 x 2*2*1 =24 =4 chybné používání zařízení x x x 2*2*2 =8 chyba v používání zneužití oprávnění 2*2*4 2*4*4 =16 =32 2*5*1 x =10 2*5*3 x =30 2*5*1 x =10 x 2*5*5 =50 x x 2*3*1 =6 x 2*5*1 =10 x 63

84 11. Management rizik Tabulka 11.11: Hodnocení rizik Databáze data z nedůvěryhodných zdrojů chyba údržby neoprávněné použití zařízení podvodné kopírování poškození dat nesprávný pracovní 2*2*2 2*3*3 x 2*2*1 2*3*1 postup =8 =18 =4 =6 známé chyby SW x x 2*4*2 x 2*2*1 =16 =4 chybné přiřazení přístupových 2*5*1 x 2*5*2 x 2*2*3 práv =10 =20 =12 neznámé chyby SW x x 2*5*1 x 2*5*1 =10 =10 nespokojený pracovník 2*5*4 x x 2*5*4 2*5*3 =40 =40 =30 neznámé chyby HW x x x x 2*5*1 =10 chybné nastavení zařízení x 2*2*4 x x 2*2*2 =16 =8 chybné používání zařízení x x x x 2*2*3 =12 chyba v používání zneužití oprávnění použití padělaného/kopírovaného SW 2*2*4* 2*4*4 2*2*3 =16 =32 =12 2*5*1 x x =10 2*5*3 x x =30 2*5*1 x x =10 x 2*5*5 2*5*2 =50 =20 x x x 2*2*4 2*2*2 x =16 =8 x x x Tabulka 11.12: Hodnocení rizik Vstupní karta zcizení nesprávný pracovní postup 3*2*3 =18 nespokojený zaměstnanec 3*3*3 =27 64

85 11.2. Posouzení rizik Tabulka 11.13: Hodnocení rizik PC z důvodu přehlednosti jsou uvedeny pouze výsledky, výpočty jsou na přiloženém CD požár poškození vodou znečištění prach, koroze, zamrznutí nedostatečná x x x x x x x x x x x ochrana vedlejšího vstupu citlivost HW na elektromagnetické x x x x x 10 x 10 x x x x x záření citlivost HW na vlhkost, x x x x x x x x x prach, zašpi- nění citlivost HW na x x x 20 x x 10 x x x x x x změny teploty nesprávné použití zařízení x 6 12 x x x x x x x x x x umístění v blízkosti x 8 x x x x x x x x x x x vodovodního potrubí nespokojený pracovník x x x x x x x x x x x hořlavost materiálů 10 x x x x x x x x x x x x závislost na elektrické 6 x x x 20 x x x x x x x x energii chybné používání zařízení x x 12 x x x x x x x x x x lidský faktor x 2 12 x x x x x x x x neznámé chyby HW x x 12 x x x x x x x x povodeň elektromagnetické záření termální záření elektromagnetické impulzy selhání zařízení chybné fungování zařízení chyba údržby neoprávněné použití zařízení zcizení 65

86 11. Management rizik Tabulka 11.14: Hodnocení rizik Konzultant data z nedůvěryhodných zdrojů nemoc chybné přiřazení práv 5*5*1 x =25 nejasné/neúplné zadání práce 5*2*5 x =50 možnost nesprávného prac. postupu 5*2*5 x =50 možnost onemocnění pracovníka x 5*5*1 =25 Tabulka 11.15: Hodnocení rizik Vývojář data z nedůvěryhodných zdrojů nemoc chybné přiřazení práv 3*5*1 x =15 nejasné/neúplné zadání práce 3*5*3 x =45 možnost nesprávného prac. postupu 3*5*4 x =60 možnost onemocnění pracovníka x 3*5*1 =15 66

87 11.3. Ošetření rizik 11.3 Ošetření rizik Rizika byla hodnocena metodou vycházející z FMEA (metoda FMEA, viz část a provedení, viz část ) Pokud RPN bylo >27, riziko nebylo akceptováno a byla proti němu přijata příslušná opatření. Opatření byla přijata také, pokud RPN bylo v intervalu včetně a vedení AlenkaSoftware tato rizika neakceptovalo Konkrétní opatření Procesy a služby Přijatá opatření pro data zákazníků a osobní údaje zaměstnanců jsou shodná, vzhledem k tomu, že na tato aktiva působí stejné hrozby a mají shodné zranitelnosti. Data zákazníků a osobní údaje zaměstnanců Pro snížení rizika krádeže médií nebo dokumentů při nesprávném pracovním postupu bylo jako opatření zavedeno hlášení do YouTracku 6 při vynášení dokumentů nebo médií (s výjimkou notebooku) mimo fyzický perimetr AlenkaSoftware. Riziko nezákonného zpracování dat při nesprávném pracovním postupu bude sníženo vysláním příslušných zaměstnanců na školení o ochraně osobních údajů. Riziko vyplývající z hrozby krádeže médií nebo dokumentů z důvodu nedostatečné ochrany fyzického perimetru navrhujeme ošetřit instalací kamer k hlavnímu i vedlejšímu vstupu a rozdělením EZS na zóny podle jednotlivých kanceláří a částí firmy tak, aby mohlo být v chodu i v přítomnosti malého počtu pracovníků. Toto opatření zároveň působí na riziko poškození dat při nedostatečné ochraně fyzických hranic. Pro snížení rizika krádeže médií nebo dokumentů nedostatečně chráněným přístupem k síťovým tiskárnám doporučujeme pořídit tiskárny s přihlášením na kartu nebo kód. Riziko krádeže papírových složek při nedostatečném zabezpečení papírových složek doporučujeme ošetřit pořízením příručního trezoru a ukládáním složek do tohoto trezoru. Pro riziko vyplývající z hrozby vzdálené špionáže a odposlechu při nedostatečné evidenci zaměstnanců AlenkaServices, kteří mají přístup k HW doporučujeme přijmout následující opatření. Změnit smlouvu s AlenkaServices tak, aby ve smlouvě byli vyjmenováni pracovníci, kteří mají přístup k HW. O každém přístupu k HW by měl být informován vedoucí servisu AlenkaSoftware nebo jím určený zástupce. Pro snížení rizika vzdálené špionáže při chybném přiřazení práv doporučujeme po přiřazení práv ke vzdálenému přístupu toto zaznamenat do systému YouTrack, který upozorní pověřeného pracovníka. Ten provede kontrolu přiřazení práv. 6 issue tracking systém, systém pro sledování problémů 67

88 11. Management rizik Pro snížení rizika vyplývajícího ze zranitelnosti nedostatečnou kontrolou mobilních zařízení mimo kancelář a hrozbu odposlechu byla v manuálu uživatele stanovena pravidla pro používání mobilních zařízení. Pro snížení rizika vyplývajícího ze zranitelnosti nedostatečnou kontrolou mobilních zařízení mimo kancelář a hrozbu krádeže doporučujeme nainstalovat na notebooky software určený k vymazání pevného disku v případě ztráty nebo odcizení. Pro riziko vyplývající z nespokojenosti zaměstnance byla přijata tato opatření: vstřícná politika AlenkaSoftware vůči zaměstancům (umožnění homeoffice, sick days, minimum přesčasů, volná pracovní doba, anonymní kniha přání a stížností) a vytvoření minitýmů, ve kterých si vedoucí týmu snadněji udržuje přehled o morálce pracovníků. Software Linux Pro riziko zneužití oprávnění při nesprávném pracovním postupu byla do spouštěcího skriptu při přihlašování přidána výrazná informace, o jaký se jedná server a ke kterému projektu je právě přiřazen. Pro riziko chyby v používání při chybném přiřazení přístupových práv doporučujeme po přiřazení práv ke vzdálenému přístupu toto zaznamenat do systému YouTrack, který upozorní pověřeného pracovníka. Ten provede kontrolu přiřazení práv. Opatřením pro zranitelnost ve formě nespokojeného pracovníka je vstřícná politika vůči zaměstnancům. Databáze Pro snížení rizika zneužití oprávnění při nesprávném pracovním postupu navrhujeme pracovníkovi odebrat/snížit oprávnění k přístupu k databázím, které se netýkají projektů, na kterých pracovník pracuje. Pro riziko chyby v používání při chybném přiřazení přístupových práv doporučujeme po přiřazení práv ke vzdálenému přístupu toto zaznamenat do systému YouTrack, který upozorní pověřeného pracovníka. Ten provede kontrolu přiřazení práv. Pro rizika vyplývající z nespokojenosti zaměstnance byla přijata vstřícná politika AlenkaSoftware vůči zaměstancům. Fyzické položky Vstupní karta Pro hrozbu zcizení vyplývající z nesprávného pracovního postupu byla přijata tato opatření: interní školení pracovníků o správném pracovním postupu, vytvoření manuálu uživatele a kontrola oprávněnosti vstupu (kamera k hlavnímu i vedlejšímu vstupu). 68

89 11.4. Akceptace rizik Pro riziko zcizení vyplývající z nespokojenosti zaměstnance byla přijata tato opatření: vstřícná politika AlenkaSoftware vůči zaměstancům (umožnění homeoffice, sick days,...) a kontrola oprávněnosti vstupu. PC Riziko vyplývající z hrozby zcizení a zranitelnosti nedostatečnou ochranou fyzického perimetru bylo řešeno změnami v EZS, pořízením kamer ke vstupům a kontrolou oprávněnosti vstupu. Pro rizika vyplývající z nespokojenosti zaměstnance byla přijata vstřícná politika AlenkaSoftware vůči zaměstancům. Pro snížení rizika z hrozeb znečištění a prachu, koroze a zamrznutí byla jako opatření zakoupena čistička vzduchu. Vzhledem k tomu, že se AlenkaSoftware nachází nad rušnou silnicí, je v kancelářích vysoká prašnost. Očekává se zlepšení po přestěhování AlenkaSoftware do nových prostor. Lidé Konzultant Hrozba použití dat z nedůvěryhodných zdrojů pro zranitelnost chybného přiřazení práv byla ošetřena zavedením elektronických podpisů vždy, když se jedná o přidělení přístupových práv. Riziko hrozby použití dat z nedůvěryhodných zdrojů pro zranitelnost nejasné/neúplné zadání práce nebo činnosti byla sníženo zavedením a používáním YouTracku pro zadávání práce. Hrozba použití dat z nedůvěryhodných zdrojů pro zranitelnost nesprávným pracovním postupem byla ošetřena interním školením konzultantů ve správných pracovních postupech. Vývojář Riziko hrozby použití dat z nedůvěryhodných zdrojů pro zranitelnost nejasné/neúplné zadání práce nebo činnosti byla sníženo zavedením a používáním YouTracku pro zadávání práce. Hrozba použití dat z nedůvěryhodných zdrojů pro zranitelnost nesprávným pracovním postupem byla ošetřena školením vývojařů v používaných konkrétních programovacích jazycích Akceptace rizik Rizika byla hodnocena metodou vycházející z FMEA (metoda FMEA, viz část a provedení, viz část ). Pro akceptaci rizika byl určen interval RPN <17, v intervalu (včetně) musí riziko posoudit a případně akceptovat management. Akceptovaná rizika s hodnotou RPN <17 jsou uvedena pouze v tabulkách v analýze rizik. Management AlenkaSoftware se dále rozhodl akceptovat tato rizika. 69

90 11. Management rizik Procesy a služby Data zákazníků a osobní údaje zaměstnanců Nedostatečné zajištění písemných složek proti požáru. Software Linux Vedení akceptovalo riziko chyby údržby při nesprávném pracovním postupu a při chybném nastavení zařízení. Databáze Vedení akceptovalo riziko chyby údržby při nesprávném pracovním postupu a při chybném nastavení zařízení. A také riziko neoprávněného použití zařízení při chybném přiřazení přístupových práv. Fyzické položky Vstupní karta Vedení AlenkaSoftware se rozhodlo akceptovat rizika vyplývající z těchto zranitelností: citlivost hardware na elektromagnetické záření, odchod pracovníka, nesprávné použití zařízení, hořlavost materiálu; a z těchto hrozeb: požár, závažná nehoda, elektromagnetické záření a elektromagnetické impulzy. Důvodem akceptace je, že při působení těchto hrozeb dojde buď k plnému zničení vstupní karty, nebo k vymazání dat. Důsledkem těchto rizik není narušení bezpečnosti. PC Bylo akceptováno riziko povodně. Vzhledem k charakteru dat umístěných na PC není potřeba jej zachovat v chodu během živelných pohrom. Chyba údržby způsobená lidským faktorem byla také akceptována vzhledem k ceně aktiva vs. ceně možných opatření (školení pracovníků). Lidé Konzultant Vedení akceptovalo riziko onemocnění konzultanta. Vývojář Žádná další rizika (mimo kritéria akceptace) nebyla akceptována. 70

91 Kapitola 12 Implementace ISMS 12.1 Vytvoření dokumentace Veškerá dokumentace je v elektronické formě s výjimkou havarijního plánu a plánu kontinuity (viz příloha E, ty existují v elektronické i papírové podobě. Vznikla také příručka ISMS a manuál uživatele Příručka ISMS V příručce ISMS je politika bezpečnosti a cíle ISMS (viz část 10.1 této práce), rozsah ISMS (viz kapitola 9 této práce), opatření podporující ISMS (viz kapitoly 9 a 11.3 této práce), popis hodnocení rizik pomocí FMEA (viz část této práce), zpráva o hodnocení rizik (viz část této práce). Postupy podporující ISMS a postupy nutné pro efektivní plánování, provoz a řízení ISMS jsou popsané v manuálu uživatele Manuál uživatele Vstup do kanceláře Vstup do kancelářské budovy i do kanceláře je na elektronickou kartu. Vlastník kartu nesmí nikde zanechat bez dozoru ani ji nikomu půjčovat. Ztrátu nebo odcizení karty je třeba okamžitě hlásit technickému náměstkovi. Pokud ztratí kartu technický náměstek, oznamuje to řediteli AlenkaSoftware. Návštěvy, které přicházejí do AlenkaSoftware, se mohou v prostorách firmy pohybovat pouze s doprovodem. Provoz a využívání mobilních telefonů Pro provoz a využívání mobilních telefonů používaných pro pracovní činnost (i mimo vlastnictví AlenkaSoftware) platí tato pravidla: mobilní telefon nikomu nepůjčovat, nikdy jej nezanechat bez dozoru a jeho ztrátu nebo odcizení okamžitě hlásit technickému náměstkovi. Pokud ztratí mobilní telefon 71

92 12. Implementace ISMS technický náměstek, oznamuje to řediteli AlenkaSoftware. Chytré mobilní telefony (smartphony) musí mít nainstalovaný a pravidelně aktualizovaný antivirový software. Pokud je mobilní telefon používán pro zašifrované spojení se servery, musí být prováděna také pravidelná aktualizace programu zajišťujícího toto spojení. Vlastník telefonu musí mít přístup chráněn PINem, který nesmí nikomu sdělit. PIN nesmí být zaznamenán písemně ani jiným způsobem. Provoz a využívání počítačů (i notebooků) Veškerý software a veškeré prostředky výpočetní techniky smějí být používány pouze pro pracovní účely a způsobem, k němuž jsou určeny. Porušení tohoto pravidla je považováno za hrubé porušení pracovní kázně. Notebooky Pro provoz a využívání notebooků platí tato pravidla: notebook nikomu nepůjčovat, nikdy jej na veřejných místech nezanechat bez dozoru. Při práci na veřejném místě musí uživatel notebooku zabránit možnosti, aby byly informace odpozorovány neoprávněnými osobami. Ztrátu nebo odcizení notebooku okamžitě hlásit technickému náměstkovi. Pokud ztratí notebook technický náměstek, oznamuje to řediteli AlenkaSoftware. PC a notebooky Pro notebooky i PC (dále počítač) platí následující bezpečnostní pravidla. Vlastník počítače nesmí otevírat potenciálně nebezpečné soubory (.exe,.bat) z nedůvěryhodných zdrojů. Nesmí otevírat přílohy s neznámou příponou. Nesmí vypínat antivirový software, měnit jeho konfiguraci ani měnit konfiguraci firewallu. Musí zajistit pravidelné aktualizace antivirového sowtwaru (ESET). Při podezření na výskyt viru, při nahlášeném viru nebo pokud má vlastník počítače podezření, že antivirový software nepracuje správně, musí neprodleně informovat vedoucího servisu. V případě, že výše uvedené okolnosti zjistí vedoucí servisu, informuje technického náměstka. Nejméně 1x týdně musí proběhnout úplný sken pomocí nainstalovaného antivirového programu ESET. Vlastník nesmí na počítače instalovat jakýkoli software bez předchozího informování vedoucího servisu. Vlastník musí mít nastavena hesla pro přístup k počítači a tato hesla udržovat v tajnosti a nikam je nezaznamenávat. V případě kompromitace hesla informovat vedoucího servisu a heslo ihned změnit. V případě vytvoření dočasného hesla toto změnit po prvním přihlášení. Hesla neukládat (správce hesel apod.). Minimální požadovaná délka hesla je čtrnáct znaků. Vlastník musí provádět pravidelné zálohy na přenosná šifrovaná média alespoň 1x za den, v případě oddělení vývoje i častěji. Nejméně 3x za den jsou informace z lokálního umístění stahované a zálohované na server. Zálohy na přenosných médiích jsou pověřeným pracovníkem denně odnášeny do bankovní úschovy. Vlastník nesmí stahovat data na nešifrovaná přenosná i nepřenosná média. 72

93 12.2. Vytvoření formulářů Ochrana informací Pro ochranu informací je využívána zásada prázdného stolu a prázdné obrazovky. Papírové dokumenty a přenosná počítačová média obsahující citlivé informace se musí v době, kdy se nepoužívají (při opuštění pracovního místa, mimo pracovní dobu) skladovat v uzamykatelných skříních. Přihlášené počítače nelze ponechávat bez dozoru; pokud pracovník opouští své pracovní místo, musí počítač chránit uzamčením nebo odhlášením. Při opuštění pracovního místa, i krátkodobě, nenechávat žádné citlivé nebo důvěrné dokumenty na stole tzv. politika čistého stolu (dokumenty vždy do uzamykatelné skříně) Vytvoření formulářů Pro účely zavádění a provozu ISMS byly beze změny použity formuláře pro ISO Formuláře pro slabá místa jsou shodné s formuláři pro nápravná a preventivní opatření, formuláře pro neshody jsou používané pro zaznamenání bezpečnostních incidentů. V rámci ISMS jsou používány také formuláře pro řízení dodavatelů. Všechny formuláře jsou vedeny elektronicky v programu MS Excel. Zvažuje se jejich převod do programu YouTrack Vytvoření prohlášení o aplikovatelnosti Prohlášení o aplikovatelnosti popisuje cíle opatření a jednotlivá bezpečnostní opatření, která AlenkaSoftware aplikovala. Cíle opatření nebudu uvádět, ve zkrácené podobě jsou uvedeny v kapitole 5, v plném znění jsou uvedeny v příloze A normy ČSN ISO/IEC 27001:2006. Vzhledem k velkému rozsahu prohlášení o aplikovatelnosti zde uvádím pouze první článek, tedy článek A.5 (tabulka 12.1). Celé prohlášení o aplikovatelnosti firmy AlenkaSoftware je v příloze F. 73

94 12. Implementace ISMS Tabulka 12.1: Prohlášení o aplikovatelnosti ukázka Článek normy Opatření Aplikace A.5 Bezpečnostní politika A.5.1 Bezpečnostní politika A Dokument bezpečnostní politiky informací A Přezkoumání bezpečnostní politiky informací Dokument bezpečnostní politiky informací musí být schválen vedením organizace, publikován a dán na vědomí všem zaměstnancům a relevantním externím stranám. Pro zajištění její neustálé použitelnosti, přiměřenosti a účinnosti musí být bezpečnostní politika informací přezkoumávána v plánovaných intervalech a vždy když nastane významná změna. politika ISMS příručka ISMS 74

95 Kapitola 13 Provoz ISMS Provoz ISMS v PDCA cyklu se skládá ze čtyř kroků. V kroku plan probíhá interní audit a přezkoumání vedením AlenkaSoftware. Interní audit provádí druhá osoba (externí konzultant). Přezkoumání vedením se již neúčastní. Cílem interního auditu je prověřit plnění požadavků normy ČSN ISO/IEC (v případě AlenkaSoftware 27001:2006) a nalézt případné neshody (systémové i nesystémové) a slabá místa. Z interního auditu také obvykle vyplynou doporučení pro zlepšování ISMS. Dalším cílem interního auditu je zjistit připravenost AlenkaSoftware na certifikační audit ISMS. Při zavádění ISMS v AlenkaSoftware proběhl první interní audit až po prvním přezkoumání vedením. Poslední materiál, které jsem od AlenkaSoftware a konzultační firmy dostal k dispozici, je právě přezkoumání vedením (viz část 13.1). Další provoz (kroky 2 4 PDCA cyklu) již řídí AlenkaSoftware sama, bez externího konzultanta. Pro úplnost zde uvádím pravděpodobný průběh. V kroku do dochází k odstraňování neshod a nedostatků zjištěných interním auditem. Dále k aplikaci doporučení z interního auditu a k řešení požadavků vzniklých z přezkoumání vedením. V kroku check probíhá monitorování celého systému. V logu některých programů (antivirové programy, firewall) se hledají pokusy o proniknutí. Při zjištění slabého místa, pokusu o průnik nebo bezpečnostního incidentů je svoláno bezpečnostní fórum AlenkaSoftware. V kroku act probíhá běžná údržba nebo reakce na výsledky monitorování (např. aktualizace antivirů, správa vstupních karet) Přezkoumání vedením V přezkoumání vedením je konstatován záměr rozšířit stávající certifikovaný systém managementu kvality o požadavky normy ISO/IEC (tedy zavést ISMS). V této souvislosti byly rozšířeny kompetence manažera kvality ve smyslu zavádění a provozu ISMS. Byl vybrán nový spolupracovník/poradce pro normy ISO. Na začátku roku 2013 proběhl dozorový audit ISO 9001, 75

96 13. Provoz ISMS provedený společností ABC. Tento audit nezjistil žádné neshody, nebyla formulována ani žádná doporučení. Interní audit ISMS proběhne před certifikačním auditem ISMS. Z interního auditu bude zpracována samostatná zpráva. Zpětná vazba od zainteresovaných stran Ve sledovaném období nebyly zaregistrovány žádné nestandardní požadavky nebo připomínky od zákazníků AlenkaSoftware. Taktéž nebyla zaregistrována žádná reklamace ze strany zákazníků. Kontroly orgánů veřejné správy a samosprávy (zdravotní, sociální, hygiena apod.) ve sledovaném období taktéž neproběhly. Veškeré požadavky, připomínky a reklamace jsou vedeny v systému YouTrack. Výkonnost procesů Výkonnost procesů se hodnotí průběžně a dle potřeby. Stav nápravných a preventivních opatření Nápravná nebo preventivní opatření vyplývající z reklamací nebyla ve sledovaném období uplatněna. V systému YouTrack je založen projekt na evidenci bezpečnostních a jiných incidentů. Následná opatření vyplývající z předchozích Management review Jedná se o první přezkoumání vedením, neexistují tudíž žádná opatření a doporučení z předchozích přezkoumání. Informace o zranitelnosti a hrozbách Zranitelná místa a hrozby, které by mohly být využity prostřednictvím identifikovaných zranitelností, byly řešeny v rámci provedené analýzy rizik. Poslední aktualizace analýzy rizik již proběhla a je součástí dokumentace ISMS. Do ISMS byly zahrnuty stávající plány kontinuity, jejichž otestování proběhlo v rámci povodňové situace. Plány kontinuity se jeví jako dostačující a funkční. Návrhy na aktualizaci hodnocení rizik a plánu zvládání rizik Aktualizace analýzy rizik, plánů kontinuity a dalších dokumentů, souvisejících s fyzickým a logickým perimetrem, je naplánovaná na období třetího čtvrtletí roku Pokud dojde k zásadním změnám ve fyzických a logických perimetrech nebo aktivech, bude analýza rizik provedena dříve. Informace o bezpečnostních incidentech a souvisejících navrhovaných změnách Ve sledovaném období se vyskytlo několik bezpečnostních incidentů, všechny byly zaznamenány a popsány v systému YouTrack. 76

97 13.2. Certifikační audit ISMS Změny v regulatorních, zákonných či smluvních požadavcích V souvislosti s úpravami Občanského zákoníku k datu došlo k revizi zákonných požadavků napříč všemi odděleními společnosti došlo k úpravě některých smluv. Doporučení pro zlepšování a zvyšování účinnosti ISMS a návrhy na zajištění zdrojů Doporučením pro zlepšování je pokračování v implementaci opatření na základě sestaveného plánu zvládání rizik a přijetí opatření v návaznosti na výstupy z auditů. Výstup z přezkoumání Zpráva byla projednána vedením dne vedení souhlasí s navrženými opatřeními Certifikační audit ISMS Certifikační audit AlenkaSoftware proběhl na konci března 2014 bez přítomnosti konzultantů. Audit provedla certifikační firma ABC. Nebyly zjištěny žádné systémové ani nesystémové neshody a byla formulována čtyři doporučení. Doporučení 1 Doporučuji při bezpečnostních auditech věnovat maximální pozornost politice čistého stolu a odhlašování ze systému při krátkodobém odchodu z pracoviště. Politika čistého stolu a čisté obrazovky je zakotvena v manuálu uživatele. Po všech pracovnících, včetně pracovníků back office, je vyžadováno dodržování tohoto manuálu. Doporučení 2 Vzhledem ke zvažované možnosti přemístění firmy do jiného objektu doporučuji zpracovat analýzu rizik spojených se stěhováním a k této analýze přihlédnout při organizaci případného stěhování. Doporučení 3 Doporučuji zapojení do činnosti bezpečnostních fór nejen pasivně, ale i aktivně. Doporučení 4 Doporučuji při nákupu nových síťových periferních zařízení preferovat periferie, které lze zajistit heslem nebo čipem. 77

98 13. Provoz ISMS Toto opatření vyplynulo z analýzy rizik, AlenkaSoftware jej patrně do termínu certifikačního auditu nestihla zavést. 78

99 Závěr Tato práce podává v rešeršní části přehled základních norem a postupů pro zavádění ISMS. Postupně jsem v práci popsal normu ČSN ISO/IEC 27001:2006, PDCA cyklus, význam aktiv a postup při jejich určování, některé metody analýzy rizik, postup při řízení bezpečnosti informací a v neposlední řadě jsem také nastínil samotný proces zavádění ISMS. V implementační části jsem popsal postup zavedení ISMS do konkrétní, ale anonymizované firmy, uváděné jako AlenkaSoftware. Pracoval jsem jako stážista u konzultační firmy, která ISMS v AlenkaSoftware pomáhala zavádět. Zúčastnil jsem se analýzy rizik metodou vycházející z FMEA, a byl jsem pověřen jejím následným zpracováním. Jako pozorovatel jsem se zúčastnil vstupního interního auditu a při řešení ošetření a akceptace rizik. Vytvořil jsem také základní strukturu manuálu uživatele, se kterým dále pracovali běžní zaměstnanci konzultační firmy. Firma, u níž jsem byl účasten zavádění ISMS, systém úspěšně zavedla a získala akreditovaný certifikát. 79

100

101 Literatura [1] Úřad pro technickou normalizaci, metrologii a státní zkušebnictví: ČSN ISO/IEC Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky [2] ŠEBESTA, V.; ŠTVERKA, V.; STEINER, F.; aj.: Praktické zkušenosti z implementace systému managementu bezpečnosti informací podle ČSN BS :2004 a komentované vydání ISO/IEC 27001:2005. Český normalizační institut, 2006, ISBN [3] Úřad pro technickou normalizaci, metrologii a státní zkušebnictví: ČSN EN ISO Systémy managementu kvality Základní principy a slovník [4] Úřad pro technickou normalizaci, metrologii a státní zkušebnictví: ČSN ISO/IEC Informační technologie - Bezpečnostní techniky - Systémy řízení bezpečnosti informací - Přehled a slovník [5] Wikimedia Foundation, 2001-: PDCA [online]. [cit ]. Dostupné z: [6] Doucek, P.; Nedomová, L.: Nasazení integrovaného systému řízení pro získání konkurenční výhody. AT&P journal,, č. 12, [7] Wikimedia Foundation, 2001-: PDCA [online]. [cit ]. Dostupné z: [8] Úřad pro technickou normalizaci, metrologii a státní zkušebnictví: ČSN Systém managementu bezpečnosti informací Směrnice pro management rizik bezpečnosti informací [9] Krajča, J.: Metody analýzy rizik podnikových informačních systémů učební pomůcka pro předmět Bezpečnost informačních systémů. Univerzita Tomáše Bati ve Zlíně,

102 Literatura [10] Rajský, J.: Možnosti využití ISMS pro malé organizace. Vysoká škola ekonomická v Praze, [11] Úřad pro technickou normalizaci, metrologii a státní zkušebnictví: ČSN ISO/IEC Informační technologie Bezpečnostní techniky - Řízení rizik bezpečnosti informací [12] Poslanecká sněmovna Parlamentu České republiky: VYHLÁŠKA o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních protiopatřeních a o stanovení náležitosti podání v oblasti kybernetické bezpečnosti Dostupné z: orig2.sqw?idd=90886 [13] Wikimedia Foundation, 2001-: FURPS [online]. [cit ]. Dostupné z: [14] Tichý, M.: Ovládání rizika. C.H. Beck, vyd. 1. vydání, 2006, ISBN [15] Wikimedia Foundation, 2001-: Failure mode and effects analysis [online]. [cit ]. Dostupné z: Failure_mode_and_effects_analysis [16] Wikimedia Foundation, 2001-: SWOT [online]. [cit ]. Dostupné z: [17] Smejkal, V.: Řízení rizik ve firmách a jiných organizacích. Grada, třetí vydání, 2010, ISBN [18] Detailní informace o produktu. Úřad pro technickou normalizaci, metrologii a státní zkušebnictví: ČSN ISO/IEC ČSN online [online]. [cit ]. Dostupné z: Detailnormy.aspx?k=85169 [19] Detailní informace o produktu. Úřad pro technickou normalizaci, metrologii a státní zkušebnictví: ČSN ISO/IEC ČSN online [online]. [cit ]. Dostupné z: Detailnormy.aspx?k=75901 [20] Detailní informace o produktu. Úřad pro technickou normalizaci, metrologii a státní zkušebnictví: ČSN ISO/IEC ČSN online [online]. [cit ]. Dostupné z: Detailnormy.aspx?k=88915 [21] Detailní informace o produktu. Úřad pro technickou normalizaci, metrologii a státní zkušebnictví: ČSN ISO/IEC ČSN online [online]. [cit ]. Dostupné z: Detailnormy.aspx?k=

103 Literatura [22] Detailní informace o produktu. Úřad pro technickou normalizaci, metrologii a státní zkušebnictví: ČSN ISO/IEC ČSN online [online]. [cit ]. Dostupné z: Detailnormy.aspx?k=93071 [23] Detailní informace o produktu. Úřad pro technickou normalizaci, metrologii a státní zkušebnictví: ČSN ISO/IEC ČSN online [online]. [cit ]. Dostupné z: Detailnormy.aspx?k=91986 [24] Detailní informace o produktu. Úřad pro technickou normalizaci, metrologii a státní zkušebnictví: ČSN ISO/IEC ČSN online [online]. [cit ]. Dostupné z: Detailnormy.aspx?k=93072 [25] Detailní informace o produktu. Úřad pro technickou normalizaci, metrologii a státní zkušebnictví: ČSN EN ISO ČSN online [online]. [cit ]. Dostupné z: Detailnormy.aspx?k=93072 [26] Detailní informace o produktu. Úřad pro technickou normalizaci, metrologii a státní zkušebnictví: ČSN EN ISO 9001 ČSN online [online]. [cit ]. Dostupné z: Detailnormy.aspx?k=83016 [27] Detailní informace o produktu. Úřad pro technickou normalizaci, metrologii a státní zkušebnictví: ČSN EN ISO ČSN online [online]. [cit ]. Dostupné z: Detailnormy.aspx?k=73439 [28] Detailní informace o produktu. Úřad pro technickou normalizaci, metrologii a státní zkušebnictví: ČSN online [online]. [cit ]. Dostupné z: 83

104

105 Příloha A Seznam použitých zkratek CCTA Central Computer and Telecommunications Agency CD Compact disk CEO Chief executive officer výkonný ředitel obchodní společnosti COO Chief Operations Officer Provozní ředitel CRAMM CCTA Risk Analysis and Management Method ČSN Česká státní norma ČR Česká republika EZS Elektronické zabezpečovací zařízení FMEA Failure Mode and Effect Analysis analýza možného výskytu a vlivu vad FURPS Functionality, Usability, Reliability, Supportability, Performace funkčnost, vhodnost k použití, spolehlivost, schopnost být udržována, výkon HW Hardware IS Informační systém ISMS Information Security Management System Systém managementu bezpečnosti informací IT Informační technologie MRP míra rizik a priorit OECD Organisation for Economic Co-operation and Development Organizace pro hospodářskou spolupráci a rozvoj 85

106 A. Seznam použitých zkratek PC Personal computer osobní počítač PDCA Plan Do Check Act Plánuj dělej kontroluj jednej PIN personal identification number osobní identifikační číslo PSK Pre-shared key RPN Risk Priority Number míra rizik a priorit SLA service-level agreemen Smlouva mezi konzumentem a poskytovatelem služby SW Software SWOT Strenghts, Weaknesses, Opportunities, Threats silné (stránky), slabé (stránky), příležitosti a hrozby UPS Uninterruptible Power Supply nepřerušitelný zdroj energie WPA Wi-Fi Protected Access 86

107 Příloha B Normy pro systémy managementu bezpečnosti informací B.1 Další normy řady ISO ČSN ISO/IEC Informační technologie Bezpečnostní techniky Systémy řízení bezpečnosti informací Přehled a slovník Tato mezinárodní norma poskytuje přehled systémů řízení bezpečnosti informací, které tvoří předmět rodiny norem ISMS a definuje související termíny. Termíny a definice uvedené v této normě se týkají termínů a definic obecně použitých v rodině norem ISMS, nikoliv všech termínů a definic [18]. ČSN ISO/IEC (dříve ČSN ISO/IEC 17799:2006) Informační technologie Bezpečnostní techniky Soubor postupů pro management bezpečnosti informací Norma vznikla jako praktická sbírka nejlepších praktik ( best practices ) v oboru bezpečnosti informací a na jejím vzniku se podílela řada státních subjektů ve spolupráci s komerčními organizacemi. Může být využita jako kontrolní seznam všeho správného, co je nutno pro bezpečnost informací v organizaci udělat. Obsahuje celkem 11 základních oddílů bezpečnosti, které jsou dále rozděleny do 39 kategorií bezpečnosti [19]. ČSN ISO/IEC Informační technologie Bezpečnostní techniky Směrnice pro implementaci systému řízení bezpečnosti informací Tato norma poskytuje doporučení pro ustanovení a implementaci systému řízení bezpečnosti informací (ISMS) v souladu s požadavky normy ISO/IEC Norma je použitelná pro všechny typy organizací, které zavádějí ISMS. Norma vysvětluje proces návrhu a implementace ISMS pomocí popisu zahájení, definování a plánování projektu implementace ISMS. Výsledkem tohoto 87

108 B. Normy pro systémy managementu bezpečnosti informací procesu je finální plán implementace projektu ISMS. Na základě tohoto plánu lze v organizaci realizovat projekt implementace ISMS. Norma popisuje proces plánování implementace ISMS v pěti etapách [20]. ČSN ISO/IEC Informační technologie Bezpečnostní techniky Řízení bezpečnosti informací Měření Tato norma poskytuje doporučení pro vývoj a používání metrik a pro měření účinnosti zavedeného systému řízení bezpečnosti informací (ISMS) a účinnosti opatření nebo skupin opatření, jak je uvedeno v ISO/IEC Implementace těchto doporučení je předmětem programu měření bezpečnosti informací [21]. ČSN ISO/IEC Informační technologie Bezpečnostní techniky Řízení rizik bezpečnosti informací Tato mezinárodní norma poskytuje doporučení pro řízení rizik bezpečnosti informací v rámci organizace, podporuje obecný koncept specifikovaný v ISO/IEC a je strukturována, aby dostatečně podporovala implementaci informační bezpečnosti založené na přístupu řízení rizik. Nicméně tato mezinárodní norma nenabízí konkrétní metodiku pro řízení rizik bezpečnosti informací [22]. ČSN ISO/IEC Informační technologie Bezpečnostní techniky Požadavky na orgány provádějící audit a certifikaci systémů řízení bezpečnosti informací Tato norma specifikuje požadavky a poskytuje doporučení pro orgány provádějící audit a certifikaci systému řízení bezpečnosti informací (ISMS) a doplňuje tak požadavky obsažené v ČSN ISO/IEC a ISO/IEC Norma je primárně určená k podpoře procesu akreditace certifikačních orgánů poskytujících certifikace ISMS [23]. ČSN ISO/IEC Informační technologie Bezpečnostní techniky Směrnice pro audit systémů řízení bezpečnosti informací Norma poskytuje doporučení pro řízení auditů systému řízení bezpečnosti informací (ISMS) a provádění interních nebo externích auditů v souladu s ISO/IEC 27001:2005. Zároveň dává návrhy na odbornou způsobilost a kvalifikaci auditorů ISMS a rozšiřuje doporučení obsažená v ISO Norma ČSN ISO/IEC neuvádí požadavky, ale doporučení pro všechny uživatele, včetně malých a středních organizací [24]. ČSN EN ISO Zdravotnická informatika Systémy řízení bezpečnosti informací ve zdravotnictví využívající ISO/IEC Tato mezinárodní norma definuje obecné zásady pro podporu interpretace a implementace zdravotnické informatiky ISO/IEC a je doprovodem této normy). Tato norma specifikuje soubor podrobných kontrol pro řízení bezpečnosti zdravotnických informací a poskytuje směrnice pro prověřené postupy v oblasti bezpečnosti zdravotnických informací [25]. 88

109 B.2. Výběr norem související s ISMS mimo řadu ISO B.2 Výběr norem související s ISMS mimo řadu ISO ČSN EN ISO 9001 Systémy managementu kvality Požadavky Aktuální vydání pochází z roku 2009, norma 27001:2006 se odkazuje na vydání z roku V této normě jsou specifikovány požadavky na systém managementu kvality v případech, kdy organizace potřebuje prokázat svoji schopnost trvale poskytovat produkt, který splňuje požadavky zákazníka a příslušné požadavky předpisů a kdy má v úmyslu zvyšovat spokojenost zákazníka, a to efektivní aplikací systému, včetně procesů pro jeho neustálé zlepšování [26]. ČSN EN ISO Systémy enviromentálního managementu Požadavky s návodem pro použití Norma specifikuje požadavky na systém environmentálního managementu tak, aby organizaci umožnila vytvořit a zavést politiku a stanovit cíle, které zahrnou požadavky právních předpisů a jiné požadavky, které se na organizaci vztahují a informace o významných environmentálních aspektech. Týká se těch environmentálních aspektů, které organizace identifikovala a které může řídit a těch, na které může mít vliv. Norma sama o sobě nestanovuje specifická kritéria environmentálního profilu [27]. ČSN Systém managementu bezpečnosti informací Směrnice pro management rizik bezpečnosti informací Norma podává návod, jak splnit požadavky definované v normě ČSN ISO- /IEC 27001:2006, které se týkají všech aspektů cyklu managementu rizik v ISMS. Tento cyklus zahrnuje posouzení a hodnocení rizik, implementaci opatření pro nakládání s riziky, monitorování a přezkoumání rizik, udržování a zlepšování systému opatření pro zvládání rizik. Tato norma se zaměřuje na efektivní bezpečnost informací pomocí trvalého programu managementu rizik. Toto zaměření je úkolem bezpečnosti informací v kontextu rizik byznysu organizace. Návod podaný v této publikaci je určený pro aplikaci ve všech organizacích bez ohledu na jejich typ, velikost a obor podnikání. Je určen pro ty manažery a jejich zaměstnance, kteří jsou zapojeni do činností managementu rizik v rámci ISMS [28]. 89

110

111 Příloha C PDCA cyklus použitý v ISMS Obrázek C.1: PDCA cyklus [1] 91

112

113 Příloha D Proces řízení rizik 93

114 D. Proces řízení rizik Obrázek D.1: Znázornění procesu řízení rizik bezpečnosti informací [11] 94

ČESKÁ TECHNICKÁ NORMA

ČESKÁ TECHNICKÁ NORMA ČESKÁ TECHNICKÁ NORMA ICS 35.020; 35.040 2008 Systém managementu bezpečnosti informací - Směrnice pro management rizik bezpečnosti informací ČSN 36 9790 Červen idt BS 7799-3:2006 Information Security Management

Více

V Brně dne 10. a

V Brně dne 10. a Analýza rizik V Brně dne 10. a 17.10.2013 Ohodnocení aktiv 1. identifikace aktiv včetně jeho vlastníka 2. nástroje k ohodnocení aktiv SW prostředky k hodnocení aktiv (např. CRAMM metodika CCTA Risk Analysis

Více

WS PŘÍKLADY DOBRÉ PRAXE

WS PŘÍKLADY DOBRÉ PRAXE WS PŘÍKLADY DOBRÉ PRAXE ISO 9001 revize normy a její dopady na veřejnou správu Ing. Pavel Charvát, člen Rady pro akreditaci Českého institutu pro akreditaci 22.9.2016 1 ISO 9001 revize normy a její dopady

Více

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti Ing. Daniel Kardoš, Ph.D 4.11.2014 ČSN ISO/IEC 27001:2006 ČSN ISO/IEC 27001:2014 Poznámka 0 Úvod 1 Předmět normy 2 Normativní odkazy 3 Termíny

Více

V Brně dne a

V Brně dne a Aktiva v ISMS V Brně dne 26.09. a 3.10.2013 Pojmy ISMS - (Information Security Managemet System) - systém řízení bezpečnosti č informací Aktivum - (Asset) - cokoli v organizaci, co má nějakou cenu (hmotná

Více

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI TÉMA Č. 4 ISO NORMY RODINY 27K pplk. Ing. Petr HRŮZA, Ph.D. Univerzita obrany, Fakulta ekonomiky a managementu Katedra vojenského managementu a taktiky E-mail.: petr.hruza@unob.cz

Více

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi 2011 6. října 2011 r

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi 2011 6. října 2011 r ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI Ing. Jiřina Petříková Informační technologie pro praxi 2011 6. října 2011 r Bezpečnost informací Zvyšuje se cena informací v oblasti soukromého podnikání i státní

Více

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013 ISMS Zavádění a provozování ISMS Bezpečnostní projekt V Brně dne 10. října 2013 Co je to bezpečnost informací Systematické ti úsilí (proces), jehož účelem je trvalé zlepšování ochrany cenných informací

Více

ČSN ISO/IEC 27001 P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

ČSN ISO/IEC 27001 P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001 ČSN ISO/IEC 27001 Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky Představení normy ISO/IEC 27001 a norem souvisejících - Současný stav ISO/IEC 27001:2005

Více

ISO 9001 : 2015. Certifikační praxe po velké revizi

ISO 9001 : 2015. Certifikační praxe po velké revizi ISO 9001 : 2015 Certifikační praxe po velké revizi Audit Audit z lat. auditus, slyšení Vzhledem k rozsahu prověřování se audit obvykle zabývá jen vzorky a jeho výsledek tedy neznamená naprostou jistotu,

Více

Hodnocení rizik v resortu Ministerstva obrany

Hodnocení rizik v resortu Ministerstva obrany Hodnocení rizik v resortu Ministerstva obrany OBSAH Pojmy používané v procesu řízení rizik v MO Systém řízení rizik Proces řízení rizik Dokumenty systému řízení rizik Pojmy používané v procesu řízení rizik

Více

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc. Fyzická bezpečnost, organizační opatření RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost,

Více

Operační program Vzdělávání pro konkurenceschopnost Název projektu: Inovace magisterského studijního programu Fakulty ekonomiky a managementu

Operační program Vzdělávání pro konkurenceschopnost Název projektu: Inovace magisterského studijního programu Fakulty ekonomiky a managementu Operační program Vzdělávání pro konkurenceschopnost Název projektu: Inovace magisterského studijního programu Fakulty ekonomiky a managementu Registrační číslo projektu: CZ.1.07/2.2.00/28.0326 PROJEKT

Více

Systém managementu jakosti ISO 9001

Systém managementu jakosti ISO 9001 Systém managementu jakosti ISO 9001 Požadavky na QMS Organizace potřebují prokázat: schopnost trvale poskytovat produkt produkt splňuje požadavky zákazníka a příslušné předpisy zvyšování spokojenosti zákazníka

Více

srpen 2008 Ing. Jan Káda

srpen 2008 Ing. Jan Káda nauka o srpen 2008 Ing. Jan Káda ČSN ISO/IEC 27001:2006 (1) aktivum cokoliv, co má pro organizaci hodnotu důvěrnost zajištění, že informace jsou přístupné pouze těm, kteří jsou k přístupu oprávněni integrita

Více

Co je riziko? Řízení rizik v MHMP

Co je riziko? Řízení rizik v MHMP Co je riziko? Hrozba, že při zajišťování činností nastane určitá událost, jednání nebo stav s následnými nežádoucími dopady na plnění stanovených povinností, úkolů a schválených záměrů a cílů SPÚ. Je definováno

Více

Zdravotnické laboratoře. MUDr. Marcela Šimečková

Zdravotnické laboratoře. MUDr. Marcela Šimečková Zdravotnické laboratoře MUDr. Marcela Šimečková Český institut pro akreditaci o.p.s. 14.2.2006 Obsah sdělení Zásady uvedené v ISO/TR 22869- připravené technickou komisí ISO/TC 212 Procesní uspořádání normy

Více

SOUBOR OTÁZEK PRO INTERNÍ AUDIT (Checklist)

SOUBOR OTÁZEK PRO INTERNÍ AUDIT (Checklist) SOUBOR OTÁZEK PRO INTERNÍ AUDIT (Checklist) Oblast 1. STRATEGICKÉ PLÁNOVÁNÍ Jsou identifikovány procesy v takovém rozsahu, aby byly dostačující pro zajištění systému managementu jakosti v oblasti vzdělávání?

Více

Bezepečnost IS v organizaci

Bezepečnost IS v organizaci Bezepečnost IS v organizaci analýza rizik Zabezpečení informačního systému je nutné provést tímto postupem: Zjistit zranitelná místa, hlavně to, jak se dají využít a kdo toho může zneužít a pravděpodobnost

Více

Řízení rizik. RNDr. Igor Čermák, CSc.

Řízení rizik. RNDr. Igor Čermák, CSc. Řízení rizik RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost, MI-IBE, zimní semestr 2011/2012,

Více

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok ISO 9000, 20000, 27000 Informační management VIKMA07 Mgr. Jan Matula, PhD. jan.matula@fpf.slu.cz III. blok ITSM & Security management standard ISO 9000-1 ISO 9000:2015 Quality management systems Fundamentals

Více

Co je a co není implementace ISMS dle ISO a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o.

Co je a co není implementace ISMS dle ISO a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o. Co je a co není implementace ISMS dle ISO 27001 a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o. OBSAH Co je implementace ISMS dle ISO 27001 Proč měřit ISMS? Zdroje pro měření

Více

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007 Gradua-CEGOS, s.r.o., Certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ

Více

ISO 9001:2015 CERTIFIKACE ISO 9001:2015

ISO 9001:2015 CERTIFIKACE ISO 9001:2015 CERTIFIKACE ISO 9001:2015 Akreditace UKAS ISO 9001:2015 Požadavky UKAS Zvažování rizik se znalostí kontextu organizace Efektivní vedení (leadership) Méně dokumentace v systému managementu kvality Aplikace

Více

Státní pokladna. Centrum sdílených služeb

Státní pokladna. Centrum sdílených služeb Státní pokladna Centrum sdílených služeb Státní pokladna Centrum sdílených služeb Organizační dopady při řešení kybernetické bezpečnosti Ing. Zdeněk Seeman, CISA, CISM Obsah prezentace Podrobnější pohled

Více

Co musí zahrnovat dokumentace systému managementu kvality? 1 / 5

Co musí zahrnovat dokumentace systému managementu kvality? 1 / 5 ISO 9000:2005 definuje třídu jako 1) kategorie nebo pořadí dané různým požadavkem na kvalitu produktů, procesů nebo systémů, které mají stejné funkční použití 2) kategorie nebo pořadí dané různým požadavkům

Více

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001 Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001 Hradec Králové duben 2009 2009-03 Informace versus Bezpečnost informací Informace (aktivum) - vše, co má hodnotu pro organizaci Bezpečnost

Více

AUDITY Hlavním cílem každého auditu musí být zjišťování faktů, nikoli chyb!

AUDITY Hlavním cílem každého auditu musí být zjišťování faktů, nikoli chyb! AUDITY Audity představují nezávislý zdroj informací a týkají se všech podnikových procesů, které tvoří systém zabezpečování jakosti podniku.audity znamenají tedy systematický, nezávislý a dokumentovaný

Více

5 ZÁKLADNÍ PRINCIPY SYSTÉMOVÉHO ŘÍZENÍ BOZP

5 ZÁKLADNÍ PRINCIPY SYSTÉMOVÉHO ŘÍZENÍ BOZP 5 ZÁKLADNÍ PRINCIPY SYSTÉMOVÉHO ŘÍZENÍ BOZP Zaměstnavatelé mají zákonnou povinnost chránit zdraví a životy svých zaměstnanců a ostatních osob vyskytujících se na jejich pracovištích. Další důležitou povinností

Více

Procesy a management rizik ve zdravotnické laboratoři. Ing. Alena Fischerová Systémy jakosti s.r.o

Procesy a management rizik ve zdravotnické laboratoři. Ing. Alena Fischerová Systémy jakosti s.r.o Procesy a management rizik ve zdravotnické laboratoři Ing. Alena Fischerová Systémy jakosti s.r.o Co je proces soubor vzájemně souvisejících nebo vzájemně působících činností, které přeměňují vstupy na

Více

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004 CobiT Control Objectives for Information and related Technology Teplá u Mariánských Lázní, 6. října 2004 Agenda Základy CobiT Pojem CobiT Domény CobiT Hodnocení a metriky dle CobiT IT Governance Řízení

Více

1. Politika integrovaného systému řízení

1. Politika integrovaného systému řízení 1. Politika integrovaného systému řízení V rámci svého integrovaného systému řízení (IMS) deklaruje společnost AARON GROUP spol. s r.o. jednotný způsob vedení a řízení organizace, který splňuje požadavky

Více

POŽADAVKY NORMY ISO 9001

POŽADAVKY NORMY ISO 9001 Kapitola Název Obsah - musí MUSÍ MŮŽE NESMÍ Záznam POČET Dokumentovaný postup Obecné požadavky staus národní normy 1 Předmluva požadavek organizacím, které musí dodržovat evropské směrnice 2 1 0.2 Procesní

Více

ČESKÁ TECHNICKÁ NORMA

ČESKÁ TECHNICKÁ NORMA ČESKÁ TECHNICKÁ NORMA ICS 35.040 Červenec 2009 Informační technologie Bezpečnostní techniky Řízení rizik bezpečnosti informací ČSN ISO/IEC 27005 36 9790 Information technology Security techniques Information

Více

Implementace systému ISMS

Implementace systému ISMS Implementace systému ISMS Krok 1 Stanovení rozsahu a hranic ISMS Rozsah ISMS Krok 2 Definice politiky ISMS Politika ISMS Krok 3 Definice přístupu k hodnocení rizik Dokumentovaný přístup k hodnocení rizik

Více

EMS - Systém environmentálního managementu. Jiří Vavřínek CENIA

EMS - Systém environmentálního managementu. Jiří Vavřínek CENIA EMS - Systém environmentálního managementu Jiří Vavřínek CENIA Osnova Použití normy a přínosy Demingůvcyklus (PDCA) Hlavní principy a prvky EMS / ISO 14001 Zainteresované strany Požadavky na management/ekology

Více

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005 Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005 Praha květen 2008 2008-03 - Bezpečnost informací jsou aktiva, která mají pro organizaci hodnotu. mohou existovat v různých podobách

Více

ČSN EN ISO (únor 2012)

ČSN EN ISO (únor 2012) ČSN EN ISO 50001 (únor 2012) nahrazuje ČSN EN 16001 z 02/2010 kompatibilní s ISO 9001 a ISO 14001 Seminář: ČSN EN ISO 50001: 2012 Zadavatel: EKIS Délka přednášky: 1 hodina Přednášející: Ing. Vladimír Novotný

Více

Návrh. VYHLÁŠKA ze dne 2016 o požadavcích na systém řízení

Návrh. VYHLÁŠKA ze dne 2016 o požadavcích na systém řízení Návrh II. VYHLÁŠKA ze dne 2016 o požadavcích na systém řízení Státní úřad pro jadernou bezpečnost stanoví podle 236 zákona č..../... Sb., atomový zákon, k provedení 24 odst. 7, 29 odst. 7 a 30 odst. 9:

Více

AUDITOR KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.5/2007

AUDITOR KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.5/2007 Gradua-CEGOS, s.r.o., Certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 AUDITOR KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ

Více

Dokumentace pro plánování a realizaci managementu jakosti dle požadavků

Dokumentace pro plánování a realizaci managementu jakosti dle požadavků Dokumentace pro plánování a realizaci managementu jakosti dle požadavků Požadavek norem ISO 9001 ISO/TS 16949 : 4.2 na dokumentaci Dokumentace systému managementu jakosti musí zahrnovat: a) dokumentované

Více

POŽADAVKY NORMY ČSN EN ISO 9001:2009 idt. ISO 9001:2008

POŽADAVKY NORMY ČSN EN ISO 9001:2009 idt. ISO 9001:2008 POŽADAVKY NORMY ČSN EN ISO 9001:2009 idt. ISO 9001:2008 Vývoj ČSN EN ISO 9001:2009 Systémy managementu kvality Požadavky idt ISO 9001:2008 Struktura a obsah normy Obsah normy ISO 9001:2008 0 Úvod 1 Předmět

Více

Procesy, procesní řízení organizace. Výklad procesů pro vedoucí odborů krajského úřadu Karlovarského kraje

Procesy, procesní řízení organizace. Výklad procesů pro vedoucí odborů krajského úřadu Karlovarského kraje Procesy, procesní řízení organizace Výklad procesů pro vedoucí odborů krajského úřadu Karlovarského kraje Co nového přináší ISO 9001:2008? Vnímání jednotlivých procesů organizace jako prostředku a nástroje

Více

8/2.1 POŽADAVKY NA PROCESY MĚŘENÍ A MĚŘICÍ VYBAVENÍ

8/2.1 POŽADAVKY NA PROCESY MĚŘENÍ A MĚŘICÍ VYBAVENÍ MANAGEMENT PROCESŮ Systémy managementu měření se obecně v podnicích používají ke kontrole vlastní produkce, ať už ve fázi vstupní, mezioperační nebo výstupní. Procesy měření v sobě zahrnují nemalé úsilí

Více

Výukový materiál zpracovaný v rámci projektu Výuka moderně

Výukový materiál zpracovaný v rámci projektu Výuka moderně Střední průmyslová škola strojnická Olomouc, tř. 17. listopadu 49 Výukový materiál zpracovaný v rámci projektu Výuka moderně Registrační číslo projektu: CZ.1.07/1.5.00/34.0205 Šablona: III/2Management

Více

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

BEZPEČNOSTNÍ POLITIKA INFORMACÍ BEZPEČNOSTNÍ POLITIKA INFORMACÍ společnosti ČEZ Energetické služby, s.r.o. Stránka 1 z 8 Obsah: 1. Úvodní ustanovení... 3 2. Cíle a zásady bezpečnosti informací... 3 3. Organizace bezpečnosti... 4 4. Klasifikace

Více

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI TÉMA Č. 4 SOUBOR POSTUPŮ PRO MANAGEMENT BEZPEČNOSTI INFORMACÍ POLITIKA A ORGANIZACE BEZPEČNOSTI INFORMACÍ pplk. Ing. Petr HRŮZA, Ph.D. Univerzita obrany, Fakulta ekonomiky

Více

Zásady managementu incidentů

Zásady managementu incidentů Obsah prezentace Zásady managementu incidentů Úvod, základní pojmy ISO/IEC TR 18044 ISO/IEC TR 18044 ISO/IEC TR 18044 Information technology Security techniques Information security incident management

Více

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o. Business Continuity Management jako jeden z nástrojů zvládání rizik Ing. Martin Tobolka AEC, spol. s r.o. Co je BCM? Mezi časté příčiny přerušení kontinuity činností patří technická selhání (energie, HW,

Více

Vnitřní kontrolní systém a jeho audit

Vnitřní kontrolní systém a jeho audit Vnitřní kontrolní systém a jeho audit 7. SETKÁNÍ AUDITORŮ PRŮMYSLU 11. 5. 2012 Vlastimil Červený, CIA, CISA Agenda Požadavky na VŘKS dle metodik a standardů Definice VŘKS dle rámce COSO Role interního

Více

Management informační bezpečnosti

Management informační bezpečnosti Management informační bezpečnosti Definice V Brně dne 3. října 2013 Definice Common Criterta ITIL COBIT CRAMM Přiměřená ábezpečnostč Management informační bezpečnosti 2 Common Criteria Common Criteria

Více

Řízení rizik. Ing. Petra Plevová. plevova.petra@klikni.cz http://plevovapetra.wbs.cz

Řízení rizik. Ing. Petra Plevová. plevova.petra@klikni.cz http://plevovapetra.wbs.cz Řízení rizik Ing. Petra Plevová plevova.petra@klikni.cz http://plevovapetra.wbs.cz Procesní řízení a řízení rizik V kontextu současných změn je třeba vnímat řízení jakékoli organizace jako jednoduchý,

Více

Gradua-CEGOS, s.r.o. AUDITOR BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI. CS systémy managementu organizací verze 2, 8.2, b) 1.

Gradua-CEGOS, s.r.o. AUDITOR BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI. CS systémy managementu organizací verze 2, 8.2, b) 1. Gradua-CEGOS, s.r.o. Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 AUDITOR BOZP PŘEHLED POŽADOVANÝCH

Více

Základy řízení bezpečnosti

Základy řízení bezpečnosti Základy řízení bezpečnosti Bezpečnost ve společnosti MND a.s. zahrnuje: - Bezpečnost a ochranu zdraví - Bezpečnost provozu, činností - Ochranu životního prostředí - Ochranu majetku - Ochranu dobrého jména

Více

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI Gradua-CEGOS, s.r.o. člen skupiny Cegos Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER BOZP

Více

Návod k požadavkům ISO 9001:2015 na dokumentované informace

Návod k požadavkům ISO 9001:2015 na dokumentované informace International Organization for Standardization BIBC II, Chemin de Blandonnet 8, CP 401, 1214 Vernier, Geneva, Switzerland Tel: +41 22 749 01 11, Web: www.iso.org Návod k požadavkům ISO 9001:2015 na dokumentované

Více

ISO 9001 a ISO 13485 aplikace na pracovištích sterilizace stručný přehled. Ing. Lenka Žďárská

ISO 9001 a ISO 13485 aplikace na pracovištích sterilizace stručný přehled. Ing. Lenka Žďárská ISO 9001 a ISO 13485 aplikace na pracovištích sterilizace stručný přehled Ing. Lenka Žďárská Proč systém kvality? Vyhláška 306/2012 Sb., příloha IV, článek IV.I., odstavec 2 Pro sterilizování zdravotnických

Více

1. Certifikační postup. 1.1 Příprava auditu. 1.2 Audit 1. stupně

1. Certifikační postup. 1.1 Příprava auditu. 1.2 Audit 1. stupně Certifikační postup systému managementu (BCMS, ISMS, SMS) sestává z přípravy nabídky a smlouvy, přípravy auditu, provedení auditu 1. stupně a vyhodnocení systémové dokumentace, provedení auditu 2. stupně,

Více

Aplikace modelu CAF 2006 za podpory procesního řízení. Ing. Vlastimil Pecka Ing. Zdeněk Havelka, PhD.

Aplikace modelu CAF 2006 za podpory procesního řízení. Ing. Vlastimil Pecka Ing. Zdeněk Havelka, PhD. Aplikace modelu CAF 2006 za podpory procesního řízení Ing. Vlastimil Pecka Ing. Zdeněk Havelka, PhD. Cíle prezentace 1. Přiblížit důvody zavádění modelu CAF 2009 za podpory procesního řízení. 2. Shrnutí

Více

RiJ ŘÍZENÍ JAKOSTI L 1 1-2

RiJ ŘÍZENÍ JAKOSTI L 1 1-2 RiJ ŘÍZENÍ JAKOSTI ML 1-2 Normy řady ISO 9000 0 Úvod 1 Předmět QMS podle ISO 9001 2 Citované normativní dokumenty 3 Termíny a definice 4 Systém managementu kvality 5 Odpovědnost managementu 6 Management

Více

Semestrální práce z předmětu 4IT421 Téma: CMMI-DEV v.1.3 PA Project Monitoring and Control

Semestrální práce z předmětu 4IT421 Téma: CMMI-DEV v.1.3 PA Project Monitoring and Control VYSOKÁ ŠKOLA EKONOMICKÁ V PRAZE náměstí W. Churchilla 4, 130 67 Praha3 Semestrální práce z předmětu 4IT421 Téma: CMMI-DEV v.1.3 PA Project Monitoring and Control Jméno a příjmení: Michal Hendrich Školní

Více

Pelantová Věra Technická univerzita v Liberci. Předmět RJS. TU v Liberci

Pelantová Věra Technická univerzita v Liberci. Předmět RJS. TU v Liberci Tento materiál vznikl jako součást projektu, který je spolufinancován Evropským sociálním fondem a státním rozpočtem ČR. Řízení kvality Pelantová Věra Technická univerzita v Liberci Předmět RJS Technická

Více

SMĚRNICE DĚKANA Č. 4/2013

SMĚRNICE DĚKANA Č. 4/2013 Vysoké učení technické v Brně Datum vydání: 11. 10. 2013 Čj.: 076/17900/2013/Sd Za věcnou stránku odpovídá: Hlavní metodik kvality Za oblast právní odpovídá: --- Závaznost: Fakulta podnikatelská (FP) Vydává:

Více

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1 POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Verze 2.1 Obsah 1. Úvod... 4 2. Vymezení pojmů... 5 3. Bezpečnostní opatření... 7 3.1. Organizační opatření... 7 3.1.1.

Více

Výtisk č. : Platnost od: Schválil: Podpis:

Výtisk č. : Platnost od: Schválil: Podpis: SM-05 INTERNÍ AUDITY Výtisk č. : Platnost od: Schválil: Podpis: 1 OBSAH Číslo kapitola strana 1 OBSAH... 2 2 PŘEHLED ZMĚN A REVIZÍ... 2 3 ÚČEL... 2 3.1 ROZSAH PLATNOSTI... 3 3.2 DEFINICE... 3 3.3 POUŽITÉ

Více

AUDITOR EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.9/2007

AUDITOR EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.9/2007 Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 AUDITOR EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ

Více

Výukový materiál zpracovaný v rámci projektu Výuka moderně

Výukový materiál zpracovaný v rámci projektu Výuka moderně Střední průmyslová škola strojnická Olomouc, tř. 17. listopadu 49 Výukový materiál zpracovaný v rámci projektu Výuka moderně Registrační číslo projektu: CZ.1.07/1.5.00/34.0205 Šablona: III/2Management

Více

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba KATALOG služeb Ing. Jiří Štěrba Obsah Úvod 3 Služby 4 Zaměření 5 Nabídka 7 Poptávka 8 Ke stažení 9 Reference 10 Informace 11 Kontakty 12 2 Úvod Dovolte, abychom Vám poskytli informace, které jsou věnovány

Více

ZVAŽOVÁNÍ RIZIKA V PROCESECH A ZPŮSOBŮ JEJICH ŘÍZENÍ. Dům techniky České Budějovice 18.11.2014

ZVAŽOVÁNÍ RIZIKA V PROCESECH A ZPŮSOBŮ JEJICH ŘÍZENÍ. Dům techniky České Budějovice 18.11.2014 ZVAŽOVÁNÍ RIZIKA V PROCESECH A ZPŮSOBŮ JEJICH ŘÍZENÍ 1 Přednášející: Ing. Jiří Moučka JM Systémy Chrudim, ČSJ-RCQ Pardubice, mobil: +420 602 413 486, moucka@jmsystemy.cz Dům techniky České Budějovice 18.11.2014

Více

Jak auditovat systémy managementu bez příruček a směrnic Ing. Milan Trčka

Jak auditovat systémy managementu bez příruček a směrnic Ing. Milan Trčka Jak auditovat systémy managementu bez příruček a směrnic Ing. Milan Trčka Nový přístup k vedení auditů 3 úrovně pro vedení auditu Vrcholové vedení organizace Vlastníci procesů Pracoviště Nový přístup k

Více

Systém řízení informační bezpečnosti (ISMS)

Systém řízení informační bezpečnosti (ISMS) Systém řízení informační bezpečností (ISMS) RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost,

Více

Příklad I.vrstvy integrované dokumentace

Příklad I.vrstvy integrované dokumentace Příklad I.vrstvy integrované dokumentace...víte co. Víme jak! Jak lze charakterizovat integrovaný systém managementu (ISM)? Integrovaný systém managementu (nebo systém integrovaného managementu) je pojem,

Více

MEZINÁRODNÍ AUDITORSKÝ STANDARD ISA 610 VYUŽITÍ PRÁCE INTERNÍCH AUDITORŮ

MEZINÁRODNÍ AUDITORSKÝ STANDARD ISA 610 VYUŽITÍ PRÁCE INTERNÍCH AUDITORŮ MEZINÁRODNÍ AUDITORSKÝ STANDARD VYUŽITÍ PRÁCE INTERNÍCH AUDITORŮ (Účinný pro audity účetních závěrek sestavených za období počínající 15. prosincem 2009 nebo po tomto datu) OBSAH Odstavec Úvod Předmět

Více

Školení QMS pro zaměstnance společnosti ČSAD Tišnov, spol. s r.o.

Školení QMS pro zaměstnance společnosti ČSAD Tišnov, spol. s r.o. Školení QMS pro zaměstnance společnosti ČSAD Tišnov, spol. s r.o. Ing. Pavel Trvaj QESTR Spojenců 876 674 01 Třebíč pavel.trvaj@qestr.cz IČ: 68660910 Řízení QMS Co je to kvalita? Řízení QMS jakost (kvalita)

Více

Výukový materiál zpracovaný v rámci projektu Výuka moderně

Výukový materiál zpracovaný v rámci projektu Výuka moderně Střední průmyslová škola strojnická Olomouc, tř. 17. listopadu 49 Výukový materiál zpracovaný v rámci projektu Výuka moderně Registrační číslo projektu: CZ.1.07/1.5.00/34.0205 Šablona: III/2Management

Více

Model systému managementu pro řízení ÚSC. Ing. Štěpán Kmoníček, Ph.D. odbor strategického rozvoje a koordinace veřejné správy

Model systému managementu pro řízení ÚSC. Ing. Štěpán Kmoníček, Ph.D. odbor strategického rozvoje a koordinace veřejné správy Model systému managementu pro řízení ÚSC Ing. Štěpán Kmoníček, Ph.D. odbor strategického rozvoje a koordinace veřejné správy Hypotézy Organizace nelze optimálně řídit podle několika souběžných, na sobě

Více

Řízení informační bezpečnosti a veřejná správa

Řízení informační bezpečnosti a veřejná správa Řízení informační bezpečnosti a veřejná správa Kladno 1.prosince 2008 Doc.RNDr. Milan BERKA, CSc. Systém řízení informační bezpečnosti Různé certifikace bezpečnosti a jejich význam NBÚ, ISO, Objekty a

Více

Management rizik v životním cyklu produktu

Management rizik v životním cyklu produktu Management rizik v životním cyklu produktu ČSJ Praha Milan Trčka Cyklus rizik produktu Nové ISO 9001:2015 a požadavky na management rizik Definice Riziko (3.09, Pozn. 3,4) Riziko - účinek nejistoty Riziko

Více

TEORETICKÉ OTÁZKY BEZPEČNOSTI

TEORETICKÉ OTÁZKY BEZPEČNOSTI TEORETICKÉ OTÁZKY STAV v konkrétních podmínkách umožňuje plnění stanovených funkcí a jejich rozvoj v zájmu člověka a společnosti párové termíny STAV NEBEZPEČÍ protikladný stav SYSTÉM společenský, přírodní,

Více

[ 1 ] Ing. František Chuchma, CSc. Seminář SVP/SDP, Státní ústav kontrolu léčiv

[ 1 ] Ing. František Chuchma, CSc. Seminář SVP/SDP, Státní ústav kontrolu léčiv [ 1 ] [ 2 ] VYR-32 verze 4 kapitola 1 Farmaceutický systém jakosti The Rules Governing Medicinal Products in EU, EU Guidelines to GMP, Chapter 1 Platnost od 31.1.2013 Právní základ: čl.47 Směrnice Evropského

Více

Nový standard pro analýzu rizik v dodavatelském řetězci automobilového průmyslu Failure Mode and Effects Analysis

Nový standard pro analýzu rizik v dodavatelském řetězci automobilového průmyslu Failure Mode and Effects Analysis Příručka FMEA AIAG & VDA Nový standard pro analýzu rizik v dodavatelském řetězci automobilového průmyslu Failure Mode and Effects Analysis Editor VDA QMC Quality Management Center (QMC) German Association

Více

ČESKÁ TECHNICKÁ NORMA

ČESKÁ TECHNICKÁ NORMA ČESKÁ TECHNICKÁ NORMA ICS 35.040 Červenec 2013 Informační technologie Bezpečnostní techniky Řízení rizik bezpečnosti informací ČSN ISO/IEC 27005 36 9790 Information technology Security techniques Information

Více

SYSTÉMY ŘÍZENÍ. Ing. Jan Štejfa

SYSTÉMY ŘÍZENÍ. Ing. Jan Štejfa SYSTÉMY ŘÍZENÍ Ing. Jan Štejfa SYSTÉMY ŘÍZENÍ Co je to (integrovaný) systém řízení? Procesně řízená organizace Popis procesů pomocí znaků, aspektů, rizik Plánování Řízení provozu a neshody Audit Přezkoumání

Více

POZNÁMKA Zvláštní schválení požadavků nebo dokumentů souvisejících s bezpečností smí být vyžadováno zákazníkem nebo interními procesy organizace.

POZNÁMKA Zvláštní schválení požadavků nebo dokumentů souvisejících s bezpečností smí být vyžadováno zákazníkem nebo interními procesy organizace. Schválené výklady byly určeny a schváleny IATF. Pokud není uvedeno jinak, jsou schváleny výklady platné po zveřejnění. Schválené výklady mění interpretaci pravidla nebo požadavky, která se pak stává podkladem

Více

DOKUMENT IAF. Závazný dokument IAF. Akreditace orgánů posuzování shody působících ve více zemích

DOKUMENT IAF. Závazný dokument IAF. Akreditace orgánů posuzování shody působících ve více zemích DOKUMENT IAF Závazný dokument IAF Akreditace orgánů posuzování shody působících ve více zemích Accreditation Assessment of Conformity Assessment Bodies with Activities in Multiple Countries IAF MD 12:2016

Více

Spisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.)

Spisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.) Spisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.) Adam Kučínský Národní bezpečnostní úřad Národní centrum kybernetické bezpečnosti Prezentace vzhledem ke svému rozsahu nepostihuje kompletní

Více

MANAŽER SM BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.10/2007

MANAŽER SM BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.10/2007 Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER SM PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ

Více

MEZINÁRODNÍ NORMY A DIGITÁLNÍ KONTINUITA. Tomáš Bezouška Praha,

MEZINÁRODNÍ NORMY A DIGITÁLNÍ KONTINUITA. Tomáš Bezouška Praha, MEZINÁRODNÍ NORMY A DIGITÁLNÍ KONTINUITA Tomáš Bezouška Praha, 10. 10. 2017 Digitální kontinuita je soubor procesů, opatření a prostředků nutných k tomu, abychom byli schopni zajistit dlouhodobou důvěryhodnost

Více

Dnešní téma se vztahuje k problematice souboru postupů pro management bezpečnosti informací hodnocení rizik bezpečnosti informací.

Dnešní téma se vztahuje k problematice souboru postupů pro management bezpečnosti informací hodnocení rizik bezpečnosti informací. Dnešní téma se vztahuje k problematice souboru postupů pro management bezpečnosti informací hodnocení rizik bezpečnosti informací. 1 V rámci tohoto tématu se budeme zabývat následujícími oblastmi viz snímek.

Více

POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ

POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ Pardubice, květen 2018 Rada Pardubického kraje za účelem naplnění ustanovení Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob

Více

Cesta k zavedení managementu společenské odpovědnosti, aneb jak na to praxe Krajského úřadu Jihomoravského kraje

Cesta k zavedení managementu společenské odpovědnosti, aneb jak na to praxe Krajského úřadu Jihomoravského kraje Cesta k zavedení managementu společenské odpovědnosti, aneb jak na to praxe Krajského úřadu Jihomoravského kraje 1. ročník konference: Společenská odpovědnost v organizacích veřejné správy, 19. 11. 2013,

Více

Metody řízení kvality: ISO 9001

Metody řízení kvality: ISO 9001 Metody řízení kvality: ISO 9001 Mgr. Libuše Urbanová Kancelář náměstka MV pro státní službu sekce pro státní službu Ministerstvo vnitra ČR Mgr. Ing. Michal Verner odbor patentových informací Úřad průmyslového

Více

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI Gradua-CEGOS, s.r.o. člen skupiny Cegos Gradua-CEGOS, s.r.o., Certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER KVALITY

Více

Rozdíly mezi normou ISO 9001:2008 a ISO 9001:2015.

Rozdíly mezi normou ISO 9001:2008 a ISO 9001:2015. Rozdíly mezi normou ISO 9001:2008 a ISO 9001:2015. 1. Struktura Nová norma obsahuje 10 hlavních ustanovení: 1. OBLAST PLATNOSTI Kdy/proč by organizace měla použít tuto normu? 2. NORMATIVNÍ DOKUMENTY Prázdný

Více

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB Návrh vyhlášky k zákonu o kybernetické bezpečnosti Přemysl Pazderka NCKB Východiska ISO/IEC 27001:2005 Systémy řízení bezpečnosti informací Požadavky ISO/IEC 27002:2005 Soubor postupů pro management bezpečnosti

Více

1. ÚČEL ROZSAH PLATNOSTI POJMY A ZKRATKY POPIS... 3

1. ÚČEL ROZSAH PLATNOSTI POJMY A ZKRATKY POPIS... 3 Obsah: 1. ÚČEL... 3 2. ROZSAH PLATNOSTI... 3 3. POJMY A ZKRATKY... 3 3.1 Audit SMK... 3 3.2 Vedoucí auditor/auditor... 3 3.3 Zpráva z auditu kvality... 3 3.4 Zkratky... 3 4. POPIS... 3 4.1 Plánování auditu...

Více

Audity ISŘ. Je-li tento dokument vytištěn, stává se neřízeným. MERO ČR, a. s. Veltruská 748, Kralupy nad Vltavou SJ-GŘ Lenka Šloserová v. r.

Audity ISŘ. Je-li tento dokument vytištěn, stává se neřízeným. MERO ČR, a. s. Veltruská 748, Kralupy nad Vltavou SJ-GŘ Lenka Šloserová v. r. MERO ČR, a. s. Veltruská 748, Kralupy nad Vltavou SJ-GŘ-22 A Audity ISŘ 13. Lenka Šloserová v. r. 19. listopadu 2015 Hana Fuxová v. r. Ing. Stanislav Bruna v. r. - Organizační změny - Implementace ISO

Více

Popis certifikačního postupu SM - ISO 9001, SM - ISO 14001, SM - ISO/TS 29001, SM - OHSAS a SM - ISO 50001

Popis certifikačního postupu SM - ISO 9001, SM - ISO 14001, SM - ISO/TS 29001, SM - OHSAS a SM - ISO 50001 Certifikační postup systému managementu dle normy ISO 9001, ISO 14001, ISO TS 29001, OHSAS 18001 nebo ISO 50001 se skládá z následujících fází: příprava nabídky a smlouvy, příprava auditu, provedení auditu

Více