Rzen informacn bezpecnosti v organizaci

Transkript

1 Rzen informacn bezpecnosti v organizaci Dodatek PV 017 Bezpecnost IT Jan Staudek Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2016

2 Dodatek predn asky Oblasti rzen ovlivn en e prosazov anm informacn bezpecnosti a prehled odpov ednost a cinnost managementu organizace: Dosazen souladu vsech strategi cinnost organizace Rzen rizik Dod av an (navysov an) hodnoty cinnost organizace Rzen zdroj u M eren v ykonu Zajist'ov an integrace proces u Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpov ednosti 1

3 Dosazen souladu vsech strategi cinnost organizace Dosazen souladu strategi organizace { koncept Mus se dos ahnout slad en strategie informacn bezpecnosti s celkovou strategi cinnost organizace tak, aby informacn bezpecnost podporovala dosahov an cl u organizace, ne vce, ne m en e prijat a bezpecnostn opatren mus pokr yvat bezpecnostn potreby organizace v oblasti informacn bezpecnosti mus b yt urceny role a stanoveny jejich povinnosti a pravomoci pro navrhov an, schvalov an, prosazov an a kontrolu informacn bezpecnosti bezpecnostn resen mus b yt vybran a a implementovan a s respektem ke st avajcm proces um a pouzvan ym technologim, remn kulture a organizacn strukture investice do informacn bezpecnosti mus b yt prov ad en e v souladu se strategi cinnost organizace tak, aby resily adekv atn pokryt identikovan ych rizik Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpov ednosti 2

4 Dosazen souladu vsech strategi cinnost organizace Dosazen souladu strategi { povinnosti na úrovních řízení Spr avn rada Vyzaduje prokazatelnost dosazen souladu vsech strategi organizace (prokazov an typicky d ukazy dodan ymi auditn zpr avou) V ykonn y management Ustanovuje procesy nutn e k propojen informacn bezpecnosti a cl u organizace Rdic v ybor (informacn bezpecnosti) Prezkoum av a a podporuje strategie informacn bezpecnosti a usiluje o jejich integraci Zajist'uje, aby management podporoval integraci informacn bezpecnosti do strategi organizace Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpov ednosti 3

5 Dosazen souladu vsech strategi cinnost organizace Dosazen souladu strategi { povinnosti na úrovních řízení CISO, Chief of Information Security Ocer Vytv ar strategii dosahov an informacn bezpecnosti ( politiku informacn bezpecnosti) Dohlz na pln en bezpecnostnho programu ( na prosazov an politiky informacn bezpecnosti) Komunikuje s manazery a vlastnky organizace pro zajist en trval eho souladu strategi Audit Vyhodnocuje dosazen y soulad strategi a o v ysledku pod av a auditn zpr avu Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpov ednosti 4

6 Rzen rizik Rzen rizik { koncept Rzen a realizace opatren pro zmrn en rizik resp. snzen potenci alnch dopad u na aktiva organizace na akceptovatelnou urove n Veden organizace mus vyj adrit z ajem o resen rizik a urcit v souladu s cli organizace urove n tolerance rizik V organizaci mus b yt zn am e zranitelnosti, hrozby a rizika ohrozujc aktiva a dosazen cl u Management mus porozum et rizik um, kter ym je organizace vystavena, a dopad um, kter e mohou nastat Management mus stanovit zp usoby rzen rizik vc. priorit, s jak ymi budou rizika zvl adan a nebo akceptovan a Mus b yt zaveden y proces rzen rizik pokr yvajc zejm ena anal yzu rizik, vyhodnocov an rizik, anal yzy trend u a zvl ad an rizik navrhov anm opatren pro zmrn en rizik Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpov ednosti 5

7 Rzen rizik Rzen rizik { povinnosti na úrovních řízení Spr avn rada Urcuje politiku rzen rizik, urove n tolerance rizik a garantuje regulatorn soulad (soulad s legislativou, smlouvami,... ) V ykonn y management Zajist'uje role a odpov ednosti vc. rzen rizik vsech cinnost Monitoruje dodrzov an regulatornho souladu Rdic v ybor (bezpecnosti) Identikuje nov a rizika Podporuje bezpecnostn praktiky organizacnch jednotek a identikuje ot azky/probl emy v dodrzov an jejich souladu Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpov ednosti 6

8 Rzen rizik Rzen rizik { povinnosti na úrovních řízení CISO, Chief of Information Security Ocer Zajist'uje, ze se prov ad hodnocen rizik a dopad u informacnch aktiv Vytv ar strategii pro zmrn en rizik ( politiku informacn bezpecnosti) Prosazuje tuto politiku a regulatorn soulad Audit Vyhodnocuje rzen rizik a pod av a o v ysledku zpr avy Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpov ednosti 7

9 Dod av an (navysov an) hodnoty cinnost organizace Dod av an (navysov an) hodnoty cinnost organizace { koncept Optimalizace investic do informacn bezpecnosti potrebn e pro podporu dosahov an cl u organizace Mus b yt vytvorena standardn sada bezpecnostnch praktik tvorc z akladn urove n bezpecnosti a prim eren e pokr yvajc rizika Usil mus b yt vhodne rozdelovan e tak, aby prim arne byla zvl adan a nejvyss rizika Bezpecnostn opatren mus b yt vhodn e standardizovan a s ohledem na efektivn spotrebu zdroj u dostupn ych pro zajist'ov an bezpecnosti Vsichni v organizaci mus ch apat informacn bezpecnost jako trval y proces, nikoli jako jednor azovou akci Bezpecnostn resen mus b yt zav adena tak, aby i pri spotrebe zdroj u prin asela pridanou hodnotu a prspvala k pln en cl u organizace Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpov ednosti 8

10 Dod av an (navysov an) hodnoty cinnost organizace Dod av an (navysov an) hodnoty cinnost organizace { povinnosti na úrovních řízení Spr avn rada Vyzaduje zpr avy o n akladech a prnosech bezpecnostnch aktivit a ochrany aktiv V ykonn y management Analyzuje konkr etn prpadov e studie bezpecnostnch resen Rdic v ybor (bezpecnosti) Prezkoum av a a doporucuje adekv atn bezpecnostn kroky podporujc ostatn cinnosti organizace Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpov ednosti 9

11 Dod av an (navysov an) hodnoty cinnost organizace Dod av an (navysov an) hodnoty cinnost organizace { povinnosti na úrovních řízení CISO, Chief of Information Security Ocer Monitoruje vyuzv an a efektivitu zdroj u na informacn bezpecnost Audit Vyhodnocuje efektivitu a v ykonnost bezpecnostnch opatren a pod av a o v ysledku zpr avy Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpov ednosti 10

12 Rzen zdroj u Rzen zdroj u { koncept Clem je ucinn e a uceln e vyuzv an bezpecnostnch znalost, infrastruktury a zdroj u organizace Nabyt e a osvojen e bezpecnostn znalosti mus b yt dostupn e a chr anen e Bezpecnostn procesy a aktivity mus b yt vhodn e standardizovan e Zaveden e procesy a praktiky mus b yt dokumentovan e Bezpecnostn architektura mus b yt vytvorena tak, aby urcovala a efektivn e vyuzvala zdroje na bezpecnost Vsechna aktiva mus b yt vyuzv ana a spotrebov av ana v souladu s cli organizace Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpov ednosti 11

13 Rzen zdroj u Rzen zdroj u { povinnosti na úrovních řízení Spr avn rada Dohlz na politiku rzen znalost a vyuzit zdroj u V ykonn y management Zajist'uje procesy pro nab yv an znalost a m eren ucinnosti a ucelnosti vyuzv an zdroj u Rdic v ybor (bezpecnosti) Prezkoum av a procesy pro nab yv an a sren znalost Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpov ednosti 12

14 Rzen zdroj u Rzen zdroj u { povinnosti na úrovních řízení CISO, Chief of Information Security Ocer Vytv ar metody pro nab yv an a sren znalost Vytv ar metriky pro m eren ucinnosti a ucelnosti vyuzv an zdroj u Audit Vyhodnocuje rzen zdroj u a pod av a o v ysledku zpr avy Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpov ednosti 13

15 M eren v ykonu M eren v ykonu { koncept Nepretrzit e sledov an napl nov an cl u organizace pozaduje m eren, monitorov an a reportov an proces u rzen bezpecnosti Bezpecnostn metriky mus b yt denov any v souladu se strategick ymi cli organizace a mus b yt odsouhlaseny Procesy rzen bezpecnosti mus b yt m ereny tak, aby byly identikov any nedostatky a aby byla zajistena zpetn a vazba do implementovan ych n apravn ych opatren Mus b yt prov adeny nez avisl e anal yzy a audity bezpecnosti Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpov ednosti 14

16 M eren v ykonu M eren v ykonu { povinnosti na úrovních řízení Spr avn rada Vyzaduje zpr avy o efektivit e bezpecnosti V ykonn y management Pozaduje prov ad et monitorov an a metriky pro bezpecnostn cinnosti Rdic v ybor (bezpecnosti) Prezkoum av a a doporucuje zda a jak bezpecnostn aktivity napl nuj cle organizace Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpov ednosti 15

17 M eren v ykonu M eren v ykonu { povinnosti na úrovních řízení CISO, Chief of Information Security Ocer Vytv ar a zav ad prstupy k monitorov an a meren Rd a monitoruje bezpecnostn aktivity Audit Vyhodnocuje urove n ucinnosti a ucelnosti m eren a metrik a pod av a o v ysledku zpr avy Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpov ednosti 16

18 Zajist'ov an integrace proces u Zajist'ov an integrace proces u { koncept Cinnosti zajist'ov an bezpecnosti mus mus b yt prov ad en e v souladu se strategi cinnost organizace a tak, aby byla minimalizovan a moznost v yskytu skryt ych rizik Nesm existovat nedostatky v ochran e aktiv organizace Bezpecnostn opatren se nesm zbytecn e prekr yvat, nesm b yt ne uceln e redundantn Cinnosti pro zajist en bezpecnosti mus b yt implementov any v souladu se strategi organizace a mus b yt vz ajemne prov az any Mus b yt spr avn e urceny role a odpov ednosti za bezpecnostn procesy Pracovnci zajist'ujcc bezpecnost mus vz ajemn e komunikovat a rozumet sv ym potreb am Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpov ednosti 17

19 Zajist'ov an integrace proces u Zajist'ov an integrace proces u { povinnosti na úrovních řízení Spr avn rada Dohlz na politiku zajist'ujc integraci proces u V ykonn y management Dohlz nad cinnostmi zajist'ujcmi bezpecnost a nad pl any pro integraci Rdic v ybor (bezpecnosti) Indikuje kritick e procesy a odpov ednosti Rd aktivity vedouc k prov az an proces u bezpecnosti Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpov ednosti 18

20 Zajist'ov an integrace proces u Zajist'ov an integrace proces u { povinnosti na úrovních řízení CISO, Chief of Information Security Ocer Udrzuje kontakt s ostatnmi odpov edn ymi pracovnky Zajist'uje, aby byly identikov any a reseny nedostatky v informacn bezpecnosti Audit Vyhodnocuje efektivitu proces u pro zajist en bezpecnosti prov aden ych v r amci r uzn ych oblast a pod av a o v ysledku zpr avy Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpov ednosti 19