ISMS. Uživatel jako zdroj rizik. V Brně dne 5. a 12. prosince 2013

Rozměr: px

Začít zobrazení ze stránky:

Download "ISMS. Uživatel jako zdroj rizik. V Brně dne 5. a 12. prosince 2013"

Drahomíra Holubová
před 8 lety
Počet zobrazení:

1 ISMS Případová studie Uživatel jako zdroj rizik V Brně dne 5. a 12. prosince 2013

2 Pojmy ICT (Information and Communication Technology) informační a komunikační technologie IS (Information System) informační systém ISMS (Information Security Management System) Systém řízení bezpečnosti informací Aktiva (Asset) - Jsou zdroje (HW, SW, služby a informace), které mají být chráněny pomocí bezpečnostních opatření. PDCA (Plan-Do-Check-Act) je metoda postupného zlepšování (například kvality výrobků, služeb, procesů, aplikací či dat) probíhající formou opakovaného provádění těchto čtyř základních činností. ISMS - pojmy 2

informace), které mají být chráněny pomocí bezpečnostních opatření.

3 Bezpečnostní projekt Bezpečnostní projekt zavádění ISMS ISMS je založen na využití modelu PDCA (Demingův model) a má čtyři etapy: - Ustanovení ISMS (určuje rozsah a odpovědnosti) - Zavádění a provoz ISMS (prosazení vybraných bezpečnostních opatření) - Monitorování a přezkoumání ř ISMS (zajištění zpětné vazby a hodnocení řízení) í) - Údržba a zlepšování (odstraňování slabin a soustavné zlepšování) Otázka: Do které fáze zařadíte školení uživatelů? A.8. Bezpečnost lidských zdrojů ISMS - PDCA 3

opatření) - Monitorování a přezkoumání ř ISMS (zajištění zpětné vazby a hodnocení řízení) í) - Údržba a zlepšování

4 Struktura ISMS Vstupy normativní - právní prostředí - regulace - společnost - školení - detekce anomálií - audit a řízení Zpětná vazba ISMS MNGMT Vstupy strategické - obchod - rizika obchodu rozhodnutí Zpětná vazba Vstupy provozní - služby (SLA) - rizika provozu Technologie - politiky - procedury - mechanizmy ISMS - struktura 4

strategické - obchod - rizika obchodu rozhodnutí Zpětná vazba Vstupy provozní -

5 Uživatel ICT Lidský faktor je problém s nejvyšší mírou rizika! Lidé jsou pomyslným nejslabším článkem řetězu,, který determinuje celkovou úroveň informační bezpečnosti celé organizace. Negativní jevy v organizacích - lze je rozdělit následujícím způsobem: - Neformální vazby - Nekompetentnost managementu v otázkách informační bezpečnosti - Nedostatečné t č pravomoci bezpečnostního č managementu IT - Rezistence uživatelů Správně ě poučený č uživatel, znamená mnohem menší riziko ik pro Informační č systém. Uživatelé by měli být proškoleni minimálně před vznikem pracovního poměru a v průběhu pracovního poměru. (dle dokument Minimální bezpečnostní pravidla pro uživatele ) Úkol: proveďte klasifikaci uživatelů pomocí grafického znázornění! Uživatelé ICT 5

bezpečnostního č managementu IT - Rezistence uživatelů Správně ě poučený č uživatel, znamená mnohem menší riziko ik pro Informační č systém.

6 Úkol Vypracování Uživatelé ICT 6

7 Graf dělení uživatelů IT uživatel profesionálové IT profesionál Pravidelná školení Pravidelná školení s represemi škodiči Odpovídající stupeň rizika je následující: uživatelé 1.bez rizika IT profesionál Aplikační profesionál 2.minimální riziko Aplikační profesionál Vyškolený uživatel ý 3.malé riziko Vyškolený uživatel IT výzkumník 4.střední riziko IT výzkumník Nevyškolitelný uživatel IT ignorant 5.velké riziko IT ignorant a nevyškolitelný uživatel IT rebel 6.maximální riziko IT rebel Dělení uživatelů 7

minimální riziko Aplikační profesionál Vyškolený uživatel ý 3.malé riziko Vyškolený uživatel IT výzkumník 4.

8 Dělení uživatelů IT profesionál bezproblémový blé uživatel spotenciálem IT administrátora i Aplikační profesionál odborník v daném oboru využívající možnosti poskytované ICT technologiemi Vyškolený uživatel uživatel dodržující bezvýhradne pravidla hry (IT bezpečnosti) Nevyškolitelný uživatel IT analfabet IT výzkumník škodič, který nevyužívá své IT schopnosti správným směrem IT ignorant škodič spřesvědčením své nevyškolitelnosti IT rebel škodič nejhoršího kalibru, na nějž platí pouze IT karanténa Dělení uživatelů 8

(IT bezpečnosti) Nevyškolitelný uživatel IT analfabet IT výzkumník škodič, který nevyužívá své IT schopnosti správným směrem IT

9 Standardní bezpečnostní opatření pro běžné uživatele Základní bezpečnostní opatření pro uživatele: Zákaz používání í soukromých prostředků (aktuální jsou mobily, PDA, tablety, t notebooky ale také USB zařízení a externí HDD) x BYOD Povinnost mlčenlivosti (zakotvení v pracovní smlouvě včetně rozsahu platnosti) Odpovědnost vlastníků aktiv (problematické je přidělení a ještě více přijetí odpovědnosti) Pravidla označování č a nakládání s informacemi i (souvisí s klasifikací informací) Periodické bezpečnostní školení Fyzický bezpečnostní perimetr (problematickém dodržování pravidel fyzického přístupu) Správa a likvidace výměnných médií (nejen média, ale USB zařízení a externí HDD) Pravidla používání hesel (vymáhání dodržování zásad) Pravidla opouštění pracoviště (zásada prázdného stolu a monitoru) Zabezpečení mobilních IT (i pro soukromé účely) Hlášení a řešení bezpečnostních incidentů (automaticky) - systémem Bezpečnostní opatření 9

odpovědnosti) Pravidla označování č a nakládání s informacemi i (souvisí s klasifikací informací) Periodické bezpečnostní školení Fyzický bezpečnostní perimetr (problematickém dodržování pravidel

Podobné dokumenty

Kybernetická bezpečnost Zákonná povinnost nebo existenční nutnost?

Kybernetická bezpečnost Zákonná povinnost nebo existenční nutnost? Ing. Jan Dienstbier 22. 3. 2016 Proč kybernetická bezpečnost? zajištění bezpečnosti informací v informačních systémech a dostupnosti a