Řízení informační bezpečnosti a veřejná správa
|
|
- Jindřich Vopička
- před 7 lety
- Počet zobrazení:
Transkript
1 Řízení informační bezpečnosti a veřejná správa Kladno 1.prosince 2008 Doc.RNDr. Milan BERKA, CSc.
2 Systém řízení informační bezpečnosti Různé certifikace bezpečnosti a jejich význam NBÚ, ISO, Objekty a zařízení IS Normy BS 7799, ČSN ISO/IEC 17799, ISO ISO/IEC 27000, ČSN ISO/IEC 25000, ČSN ISO TR 13335, ISO TR ČSN ISO/IEC 15408, ČSN ISO/IEC 19000, Legislativa - dopady Zákon 128, 129, 365 o informačních systémech ve veřejné správě Zákon o elektronických komunikacích SPAM pokuta 10 mil.kč Autorský zákon nelegální SW milionové pokuty Zákon o ochraně osobních údajů pokuta mil. Kč Vyhláška 529 k zákonu 365 dnes - ISMS rok 2011 Organizace zavádění do praxe organizační zastřešení rozhodnutí vedení organizace, role stanovení priorit atd.
3 Nesete následky Neřešení bezpečnosti Napadení telefonních ústředen 9 mil. Neoprávněné volání přes GSM bránu. Napadení VoIP služeb přes SIP Euro škoda neoprávněná zahraniční volání, jiný operátor škoda. Nelegální SW nejmenovaná organizace 8 mil. škoda a povinnost dokoupit SW, soudní řízení s managementem Rozesílání nevyžádaných ů zaměstnanec rozesílal nabídky z firemního mailu, UOOU 10 mil. Pokuta Únik osobních dat zaměstnance nejmenovaná organizace 7 mil. Pokuta Vše za posledních 6 měsíců. Za rok předtím jsem registroval pouze jednu kauzu. Roční nárůst o %.
4 Postup při implementaci Rozhodnutí vedení o zavádění ISMS - existuje Stanovení rozsahu a struktury ISMS Politika ISMS schválení vedením (jedna strana A4) Zavedení systematického řízení rizik AR - IT Stanovení bezpečnostních politik CBP schválí vedení (pět stran A4), ostatní vydá a schválí IT Implementace a provoz ISMS IT nebo dle návrhu org.struktury Monitorování a přezkoumávání ISMS audity, zprávy IT schvaluje vedení Údržba a zlepšování ISMS rutinní provoz té věci
5 Postup při implementaci
6 Analýza a řízení rizik Metodika (mnoho možných metodik ) CRAMM ALE CORAX COBIT Určení aktiv Určení hrozeb Určení zranitelností Výpočet rizika a následků Určení možných protiopatření (z normy 136, technických, organizačních a dalších) Modelování změny rizik Výběr vhodných maximální efekt s minimálními náklady Opakování cyklu
7 Analýza rizik Aktiva Stanovit přesně čím se budeme zabývat seznam aktiv HW evidence, nákup, inventarizace SW evidence, licence, nákupy, inventarizace Aplikace Lidé Informace ve všech formách (včetně papíru, medií, systémů) Odpovědnost vlastník / správce Správa Hodnota aktiva cena, ztráta z výpadku, nedostupnosti, zničení Návaznosti mezi aktivy Výše ohodnocení aktiva zvyšuje riziko
8 Analýza rizik Hrozby Co kterému aktivu hrozí část obecně z normy ISO Hrozby ze zkušenosti Klasifikace hrozeb Statistika incidentů Obecné tabulky Ohodnocení hrozeb Výše hrozby zvyšuje riziko Zranitelnosti Možnost uplatnění hrozby Ohodnocení Výše zranitelnosti zvyšuje riziko
9 Analýza rizik Opatření (protiopatření) Ochrana aktiva proti hrozbě Ohodnocení vyjadřuje účinnost Snižuje riziko Riziko Závisle proměnná, přímo úměrná hodnotě aktiva, přímo úměrná velikosti hrozby, přímo úměrná zranitelnosti a nepřímo úměrná přijatým opatřením Parametr pravděpodobnost charakterizuje to, že se hrozba na aktivum skutečně uplatní, jde o výskyt dané události Řešení rizika Přijetí rizika Přenesení na dodavatele nebo pojišťovnu Plán snižování rizik
10 hodnota rizika Snižování maximálních rizik Snižování rizik maximální rizika na aktivech Řada3 Řada2 Řada hrozba
11 sumární riziko Snižování sumárních rizik Snižov ání rizik hrozby sumárně Řada Řada2 Řada hrozba
12 maximální riziko Snižování rizik po aktivech Rizika po aktiv ech Řada3 Řada2 Řada aktiva
13 Plán snižování rizik Opatření Politika ISMS vytvoření a schválení politiky ISO/IEC Kap.4-8 Bezpečnostní politiky vytvoření a schválení struktury politik a předpisů ISO/IEC Kap.4-8 ISO/IEC Kap.5 Definice PoA Prohlášení o aplikovatelnosti (specifikuje schválené opatření k realizaci dle opatření ISO) Křížová kontrola vůči příloze A normy ISO/IEC 27001, aby nebyly opomenuté žádné cíle či opatření potřebné pro ISMS organizace. ISO/IEC Kap.4-8 Odpovědnost, termín, zdroje leden, únor ,- 50 hodin březen duben ,- 200 hodin Duben 2008 interně 30 hodin
14 Politika ISMS a Bezpečnostní politika informací Bezpečnostní politika, jak vyplývá z požadavku normy je povinný dokument. Vychází ze specifických podmínek organizace, jejich procesů, struktury a používaných aktiv. Tento povinný dokument musí být schválen vrcholovým vedením organizace a musí s ním seznámeni všichni zaměstnanci organizace. Minimální obsah politiky ISMS je následující: cíle v oblasti ISMS, celková strategie a rámec zásad ISMS požadavky vyplývající z hlavních činností organizace, legislativní, normativní požadavky a smluvní závazky, organizační a odpovědnostní strukturu a vazby informační bezpečnosti v systému řízení organizace stanovení kritérií a způsobu řízení rizik a základní bezpečnostní opatření
15 Organizace dokumentace Směrnice, předpisy, postupy, řády,.. Celková bezpečnostní politika Bezpečnostní politika informací Bezpečnostní politika systému XYZ - RAS, Autentizace, Autorizace, Účetnictví, Přístup do objektů, Utajované skutečnosti,... Bezpečnostní projekty / Plány zvládání rizik Podřízenost a nadřízenost předpisů Co kde uvádět?
16 Obsah dokumentů Jeden velký dokument / mnoho menších? Strategie Taktické cíle Postupné upřesňování pravidel Implementace opatření Např. politika přístupu k informacím, zálohování dat, různé systémy různá pravidla, technické prostředky atd.
17 Požadavky na dokumentaci Rozsah a předmět ISMS Kvalifikace informací z hlediska citlivosti k ISMS Seznam aktiv Řízení dokumentů Řízení záznamů Řízení neshod Řízení nápravných opatření Řízení preventivních opatření Interní audity ISMS Analýza a hodnocení rizik Zpráva o hodnocení rizik Plán řízení rizik ( cíle a programy řízení rizik) Prohlášení o aplikovatelnosti ( POA) Dokumentované postupy nezbytné pro zajištění efektivního fungování a provozu ISMS Plány havárie a obnovy ( Disaster Recovery Plan DRP) Plány kontinuity podnikání ( Business Continuity Planning BCP)
18 Popisy procesů řízení dokumentace ISMS pravidla jsou stejná jako u dokumentace systému jakosti dle ISO 9001 zacházení s informacemi ve všech jejich formách, včetně klasifikace informací a výměny s jinými organizacemi, řízení přístupů do ISMS správa počítačové sítě, zejména ve vztahu k bezpečnosti používaných síťových služeb, fyzická bezpečnost, práce v bezpečnostních zónách a ochrana zařízení a médií, šifrování, nasazování šifrovacích prostředků a správa klíčů, management bezpečnostních incidentů, rozpoznávání incidentů, slabin a selhání, ohlašování, vyšetřování, informování, vyhodnocování, poučení z chyb a disciplinární proces, řízení změn, schvalování prostředků k nasazení, iniciování, řešení, testování a realizace velkých a malých změn, kontrolní činnost, protokolování užití systému a monitoring, ověřování technické shody, řízení kontinuity činností, plánování, formulace a dokumentace havarijních plánů a plánů obnovy funkčnosti, testování plánů
19 Vedení záznamů - doložení fungování pravidel Záznamy mohou být vedeny libovolnou formou písemně, elektronicky, v textovém, databázovém, tabulkovém nebo jiném formátu za podmínky že jsou: identifikovatelné umožňují v předem stanoveném rozsahu vyhledávání jsou přístupné autorizovaným osobám, resp. procesům jejich identifikace, uložení, ochrana, vyhledávání a přístupnost je dokumentována vedení každého záznamu musí být definováno v příslušné směrnici, resp. popisu procesu
20 Plány v rámci bezpečnosti IS Plán zachování kontinuity (hlavních činností) - BCP Plán zálohování a obnovy - DRP Havarijní plány (pro jednotlivé IS) a seznam všech havarijních plánů Plán testování havarijních plánů. Plán bezpečnostní výchovy a školení. Plán auditů ISMS
21 Zásady pro implementaci ISMS Bezpečnost informací něco stojí investované prostředky by měly produkovat výsledek a ne pouze nákladný konzultační proces Bezpečnost informací se musí stát prioritou vrcholového vedení Míra bezpečnosti by měla být úměrná škodě, která může být způsobena Bezpečnost informací není jednorázový akt, ale nikdy nekončící řízený proces Přehnané nároky na bezpečnost jdou na úkor funkcionality Nejúčinnější je bezpečnost, která se řeší od začátku implementace integrovaného systému a je jeho integrální součástí Prolomení bezpečnosti může zabránit kombinace opatření na několika vrstvách (organizační, personální, objektová, technická, komunikační, provozní, programová) Bezpečnost informací je multioborová problematika, kterou nezvládne běžný správce IS, administrátor ani programátor Bez důkladného a kontinuálního vzdělávání zaměstnanců v oblasti ISMS nelze provozovat sebelépe implementovaný systém Bezpečnost informací nesmí být překážkou podnikání, úspěšné podnikání není možné bez zajištění bezpečnosti informací Bezpečnostní manažer musí být podřízen pouze vrcholovému vedení nebo musí být nezávislý Vyvarovat se firem nebo jednotlivců, kteří o sobě prohlašují, že ISMS rozumí Implementace technologických prostředků není implementací ISMS Nikdy nevyloučíte škody a rizika zcela, můžete je pouze minimalizovat
22 Děkuji za pozornost
Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.
Business Continuity Management jako jeden z nástrojů zvládání rizik Ing. Martin Tobolka AEC, spol. s r.o. Co je BCM? Mezi časté příčiny přerušení kontinuity činností patří technická selhání (energie, HW,
VíceV Brně dne 10. a
Analýza rizik V Brně dne 10. a 17.10.2013 Ohodnocení aktiv 1. identifikace aktiv včetně jeho vlastníka 2. nástroje k ohodnocení aktiv SW prostředky k hodnocení aktiv (např. CRAMM metodika CCTA Risk Analysis
VíceImplementace systému ISMS
Implementace systému ISMS Krok 1 Stanovení rozsahu a hranic ISMS Rozsah ISMS Krok 2 Definice politiky ISMS Politika ISMS Krok 3 Definice přístupu k hodnocení rizik Dokumentovaný přístup k hodnocení rizik
Více1. KURZ č. 1 - QMS - Školení a výklad normy ČSN EN ISO 9001:2001. 2. KURZ č. 2 - QMS - Školení interních auditorů QMS a metrologa
Návrh školících modulů pro projekt dotací ESF Tématika norem: - ČSN EN ISO 9001: 2001 Systémy managementu jakosti - Požadavky; - ČSN ISO/IEC 27001:2006 Informační technologie - Bezpečnostní techniky -
VíceČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti
ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti Ing. Daniel Kardoš, Ph.D 4.11.2014 ČSN ISO/IEC 27001:2006 ČSN ISO/IEC 27001:2014 Poznámka 0 Úvod 1 Předmět normy 2 Normativní odkazy 3 Termíny
VíceGradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI
Gradua-CEGOS, s.r.o. člen skupiny Cegos Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER BOZP
VíceNávrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB
Návrh vyhlášky k zákonu o kybernetické bezpečnosti Přemysl Pazderka NCKB Východiska ISO/IEC 27001:2005 Systémy řízení bezpečnosti informací Požadavky ISO/IEC 27002:2005 Soubor postupů pro management bezpečnosti
VíceMANAŽER SM BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.10/2007
Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER SM PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ
VíceSystém řízení informační bezpečnosti (ISMS)
Systém řízení informační bezpečností (ISMS) RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost,
VícePolitika bezpečnosti informací
ORGANIZAČNÍ SMĚRNICE Název: Politika bezpečnosti informací Číslo dokumentu: OS4402 Vydání č.: 06 Výtisk č.: 01 Platnost od: 15.04.2016 Účinnost od: 29.04.2016 Platnost do: Zpracoval: Ing. Vladimír Fikejs
Vícesrpen 2008 Ing. Jan Káda
nauka o srpen 2008 Ing. Jan Káda ČSN ISO/IEC 27001:2006 (1) aktivum cokoliv, co má pro organizaci hodnotu důvěrnost zajištění, že informace jsou přístupné pouze těm, kteří jsou k přístupu oprávněni integrita
VíceČESKÁ TECHNICKÁ NORMA
ČESKÁ TECHNICKÁ NORMA ICS 35.020; 35.040 2008 Systém managementu bezpečnosti informací - Směrnice pro management rizik bezpečnosti informací ČSN 36 9790 Červen idt BS 7799-3:2006 Information Security Management
VíceBezpečnost na internetu. přednáška
Bezpečnost na internetu přednáška Autorské právo a bezpečnost na internetu Bezpečnost informačního systému školy Ing. Ludmila Kunderová Ústav informatiky PEF MENDELU v Brně lidak@pef.mendelu.cz internetu
VíceCertifikace systému managementu bezpečnosti informací dle ISO/IEC 27001
Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001 Hradec Králové duben 2009 2009-03 Informace versus Bezpečnost informací Informace (aktivum) - vše, co má hodnotu pro organizaci Bezpečnost
VíceŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi 2011 6. října 2011 r
ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI Ing. Jiřina Petříková Informační technologie pro praxi 2011 6. října 2011 r Bezpečnost informací Zvyšuje se cena informací v oblasti soukromého podnikání i státní
VíceEMS - Systém environmentálního managementu. Jiří Vavřínek CENIA
EMS - Systém environmentálního managementu Jiří Vavřínek CENIA Osnova Použití normy a přínosy Demingůvcyklus (PDCA) Hlavní principy a prvky EMS / ISO 14001 Zainteresované strany Požadavky na management/ekology
VíceNávrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.
Návrh zákona o kybernetické bezpečnosti Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.cz Předmět úpravy VKB Obsah a strukturu bezpečnostní dokumentace
VíceČSN ISO/IEC 27001 P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001
ČSN ISO/IEC 27001 Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky Představení normy ISO/IEC 27001 a norem souvisejících - Současný stav ISO/IEC 27001:2005
VíceV Brně dne a
Aktiva v ISMS V Brně dne 26.09. a 3.10.2013 Pojmy ISMS - (Information Security Managemet System) - systém řízení bezpečnosti č informací Aktivum - (Asset) - cokoli v organizaci, co má nějakou cenu (hmotná
VícePřípadová studie. Zavedení ISMS dle standardu Mastercard
Případová studie Případová studie Zavedení ISMS dle standardu Mastercard Případová studie Verze 1.0 Obsah Zavedení ISMS dle standardu Mastercard Výchozí stav Zavedení ISMS dle standardu Mastercard Výchozí
VíceVěstník ČNB částka 18/2010 ze dne 21. prosince ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010
Třídící znak 2 2 1 1 0 5 6 0 ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010 k výkonu činnosti organizátora regulovaného trhu, provozovatele vypořádacího systému a centrálního depozitáře cenných
VíceFyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.
Fyzická bezpečnost, organizační opatření RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost,
VíceGradua-CEGOS, s.r.o. AUDITOR BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI. CS systémy managementu organizací verze 2, 8.2, b) 1.
Gradua-CEGOS, s.r.o. Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 AUDITOR BOZP PŘEHLED POŽADOVANÝCH
VíceMANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007
Gradua-CEGOS, s.r.o., Certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ
VíceStandardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha
Standardy/praktiky pro řízení služeb informační bezpečnosti Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha Služby informační bezpečnosti Nemožnost oddělit informační bezpečnost od IT služeb
VíceMetodický dohled - jak správně ošetřit požadavky legislativy ICT projektu Jan Heisler, Relsie, spol. s r.o.
Metodický dohled - jak správně ošetřit požadavky legislativy ICT projektu Jan Heisler, Relsie, spol. s r.o. http://www.relsie.cz/ Současný stav projektů v ICT Procesy dohled řízení Legislativa národní
VíceBezpečnostní politika společnosti synlab czech s.r.o.
Bezpečnostní politika společnosti synlab czech s.r.o. Platnost dokumentu: 14. ledna 2015 Datum vypracování: 8. ledna 2015 Datum schválení: 13. ledna 2015 Vypracoval: Schválil: Bc. Adéla Wosková, Ing. Jaroslav
VícePelantová Věra Technická univerzita v Liberci. Předmět RJS. TU v Liberci
Tento materiál vznikl jako součást projektu, který je spolufinancován Evropským sociálním fondem a státním rozpočtem ČR. Řízení kvality Pelantová Věra Technická univerzita v Liberci Předmět RJS Technická
VíceZákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@email.cz, 603 248 295
Zákon o kybernetické bezpečnosti základní přehled Luděk Novák ludekn@email.cz, 603 248 295 Obsah Zákon č. 181/2014 Sb., o kybernetické bezpečnosti Vyhláška č. 316/2014 Sb., vyhláška o kybernetické bezpečnosti
VíceISMS. Bezpečnostní projekt. V Brně dne 10. října 2013
ISMS Zavádění a provozování ISMS Bezpečnostní projekt V Brně dne 10. října 2013 Co je to bezpečnost informací Systematické ti úsilí (proces), jehož účelem je trvalé zlepšování ochrany cenných informací
Víceegrc řešení - nástroj pro efektivní řízení bezpečnosti dle kybernetického zákona Marian Němec AEC a.s.
egrc řešení - nástroj pro efektivní řízení bezpečnosti dle kybernetického zákona Marian Němec AEC a.s. Obecný princip chování Kybernetická panika Relativizace bezpečnostních rizik Nedostatečné investice
VícePolitika bezpečnosti informací
ORGANIZAČNÍ SMĚRNICE Název : Politika bezpečnosti informací Číslo dokumentu: OS4402 Vydání č.: 04 Výtisk č.: 01 Platnost od: 03.06.2013 Účinnost od : 18.06.2013 Platnost do: Zpracoval: Ing. Vladimír Fikejs
VíceStátní pokladna. Centrum sdílených služeb
Státní pokladna Centrum sdílených služeb Státní pokladna Centrum sdílených služeb Organizační dopady při řešení kybernetické bezpečnosti Ing. Zdeněk Seeman, CISA, CISM Obsah prezentace Podrobnější pohled
VíceManagement bezpečnosti informací dle ISO 27001:2006. Zkušenosti se zaváděním ve společnosti SYSCOM SOFTWARE s.r.o.
Management bezpečnosti informací dle ISO 27001:2006 Zkušenosti se zaváděním ve společnosti SYSCOM SOFTWARE s.r.o. ENVIRO 15.4.2010 Ing. Jaroslav Březina 1 O autorovi Ing. Jaroslav Březina Pracuje ve společnosti
VíceMANAGEMENT KYBERNETICKÉ BEZPEČNOSTI
MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI TÉMA Č. 4 ISO NORMY RODINY 27K pplk. Ing. Petr HRŮZA, Ph.D. Univerzita obrany, Fakulta ekonomiky a managementu Katedra vojenského managementu a taktiky E-mail.: petr.hruza@unob.cz
VíceKybernetická bezpečnost resortu MV
Kybernetická bezpečnost resortu MV Ing. Miroslav Tůma Ph. D. odbor kybernetické bezpečnosti a koordinace ICT miroslav.tuma@mvcr.cz Agenda 1. Pokyn MV - ustanovení Výboru pro řízení kybernetické bezpečnosti
VíceBEZPEČNOSTI INFORMACÍ
Systém managementu BEZPEČNOSTI INFORMACÍ Martin Drastich Vývoj a současnost standardů informační bezpečnosti Komentář normy ISO/IEC 27001:2005 Implementace systému managementu bezpečnosti informací Audit,
VíceBezepečnost IS v organizaci
Bezepečnost IS v organizaci analýza rizik Zabezpečení informačního systému je nutné provést tímto postupem: Zjistit zranitelná místa, hlavně to, jak se dají využít a kdo toho může zneužít a pravděpodobnost
Víceehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti
Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti ehealth Day 2016 16.2.2016 Ing. Stanislav Bíža, Senior IT Architekt, CISA stanislav.biza@cz.ibm.com 12016 IBM Corporation Požadavky
VícePotřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?
Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva? Ing. Jiří Sedláček Chief of Security Experts jiri.sedlacek@nsmcluster.com Kybernetická bezpečnost III Kdo jsme Kooperační odvětvové
VíceCo je a co není implementace ISMS dle ISO a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o.
Co je a co není implementace ISMS dle ISO 27001 a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o. OBSAH Co je implementace ISMS dle ISO 27001 Proč měřit ISMS? Zdroje pro měření
VíceÚvod. Projektový záměr
Vzdělávací program Řízení jakosti a management kvality Realizátor projektu: Okresní hospodářská komora Karviná Kontakt: Svatováclavská 97/6 733 01 KARVINÁ +420 596 311 707 hkok@hkok.cz www.akademieok.cz
VíceMANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.8/2007
Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ
VíceKybernetická bezpečnost
Kybernetická bezpečnost Ondřej Steiner, S.ICZ a. s. 25.9.2014 1 Obsah Zákon co přináší nového? Nové pojmy KII vs VIS Příklady Povinnosti Jak naplnit požadavky Proč implementovat? Bezpečnostní opatření
VíceŘízení rizik. RNDr. Igor Čermák, CSc.
Řízení rizik RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost, MI-IBE, zimní semestr 2011/2012,
VíceObsah. Příloha č. 2: Standardy a doporučení Verze:
Příloha č. 2: Standardy a doporučení Verze: 0.8 4.10.2005 Obsah Obsah... 1 Právní předpisy... 2 Normy, které se týkají informační bezpečnosti... 3 Obecné zásady... 5 Doporučení pro řízení informační bezpečnosti...
VíceSystém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005
Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005 Praha květen 2008 2008-03 - Bezpečnost informací jsou aktiva, která mají pro organizaci hodnotu. mohou existovat v různých podobách
VíceSMĚRNICE DĚKANA Č. 4/2013
Vysoké učení technické v Brně Datum vydání: 11. 10. 2013 Čj.: 076/17900/2013/Sd Za věcnou stránku odpovídá: Hlavní metodik kvality Za oblast právní odpovídá: --- Závaznost: Fakulta podnikatelská (FP) Vydává:
VíceDokumentace pro plánování a realizaci managementu jakosti dle požadavků
Dokumentace pro plánování a realizaci managementu jakosti dle požadavků Požadavek norem ISO 9001 ISO/TS 16949 : 4.2 na dokumentaci Dokumentace systému managementu jakosti musí zahrnovat: a) dokumentované
VíceKybernetická bezpečnost MV
Kybernetická bezpečnost MV Ing. Miroslav Tůma Ph. D. odbor kybernetické bezpečnosti a koordinace ICT miroslav.tuma@mvcr.cz Agenda 1. Pokyn MV - ustanovení Výboru pro řízení kybernetické bezpečnosti 2.
VíceŘízení kybernetické a informační bezpečnosti
Řízení kybernetické a informační bezpečnosti Martin Hanzal předseda sekce Kybernetická a informační bezpečnost AOBP CEVRO Institut, 22. dubna 2014 Sekce Kybernetická a informační bezpečnost Je nevládní,
VíceAudit ICT. KATALOG služeb. Ing. Jiří Štěrba
KATALOG služeb Ing. Jiří Štěrba Obsah Úvod 3 Služby 4 Zaměření 5 Nabídka 7 Poptávka 8 Ke stažení 9 Reference 10 Informace 11 Kontakty 12 2 Úvod Dovolte, abychom Vám poskytli informace, které jsou věnovány
VíceISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok
ISO 9000, 20000, 27000 Informační management VIKMA07 Mgr. Jan Matula, PhD. jan.matula@fpf.slu.cz III. blok ITSM & Security management standard ISO 9000-1 ISO 9000:2015 Quality management systems Fundamentals
VícePříklad I.vrstvy integrované dokumentace
Příklad I.vrstvy integrované dokumentace...víte co. Víme jak! Jak lze charakterizovat integrovaný systém managementu (ISM)? Integrovaný systém managementu (nebo systém integrovaného managementu) je pojem,
VíceZ P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P
Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P R O S T Ř E D Í ZoKB a cloudové služby Je možné zajistit
VíceZkušenosti z naplňování ZKB: Audit shody se ZKB. Ing. Martin Konečný,
Zkušenosti z naplňování ZKB: Audit shody se ZKB Ing. Martin Konečný, 14. 9. 2016 opřístup NBÚ ke kontrolám ZKB opříprava a průběh ostatistika onejčastější typy zjištění odotazy 2 okontroly dodržování ZKB
VíceCo je riziko? Řízení rizik v MHMP
Co je riziko? Hrozba, že při zajišťování činností nastane určitá událost, jednání nebo stav s následnými nežádoucími dopady na plnění stanovených povinností, úkolů a schválených záměrů a cílů SPÚ. Je definováno
VíceMANAGEMENT KYBERNETICKÉ BEZPEČNOSTI
MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI TÉMA Č. 4 SOUBOR POSTUPŮ PRO MANAGEMENT BEZPEČNOSTI INFORMACÍ POLITIKA A ORGANIZACE BEZPEČNOSTI INFORMACÍ pplk. Ing. Petr HRŮZA, Ph.D. Univerzita obrany, Fakulta ekonomiky
VíceZákon o kybernetické bezpečnosti a jeho implementace aktuálně
Zákon o kybernetické bezpečnosti a jeho implementace aktuálně Kontrola plnění zákona o kybernetické bezpečnosti (průběh a zkušenosti z kontrol, častá zjištění a problémy) Pavla Jelečková Oddělení kontroly
VíceAUDITOR EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.9/2007
Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 AUDITOR EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ
VíceBEZPEČNOSTNÍ POLITIKA INFORMACÍ
BEZPEČNOSTNÍ POLITIKA INFORMACÍ společnosti ČEZ Energetické služby, s.r.o. Stránka 1 z 8 Obsah: 1. Úvodní ustanovení... 3 2. Cíle a zásady bezpečnosti informací... 3 3. Organizace bezpečnosti... 4 4. Klasifikace
VíceGradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI
Gradua-CEGOS, s.r.o. člen skupiny Cegos Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER EMS
VíceOperační program Vzdělávání pro konkurenceschopnost Název projektu: Inovace magisterského studijního programu Fakulty ekonomiky a managementu
Operační program Vzdělávání pro konkurenceschopnost Název projektu: Inovace magisterského studijního programu Fakulty ekonomiky a managementu Registrační číslo projektu: CZ.1.07/2.2.00/28.0326 PROJEKT
VíceHodnocení rizik v resortu Ministerstva obrany
Hodnocení rizik v resortu Ministerstva obrany OBSAH Pojmy používané v procesu řízení rizik v MO Systém řízení rizik Proces řízení rizik Dokumenty systému řízení rizik Pojmy používané v procesu řízení rizik
VíceISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA
ISO 9001:2009 a ISO 27001:2005 dobrá praxe Ing. Martin Havel, MBA Obsah 1. Podstata řešení 2. Cíle 3. Průběh implementace 4. Přínos 5. Výsledky 6. Doporučení 2 Podstata řešení Vytvoření jednotného systému
VícePožadavky a principy ISMS
AGENDA Vymezení procesu informační bezpečnosti Životní cyklus ISMS Požadavky na dokumentaci Požadavky na záznamy Požadavky a principy ISMS Gabriel Lukáč gabriel.lukac@nexa.cz Vymezení procesu řízení informační
VíceNástroje IT manažera
Obsah Nástroje IT manažera Školení uživatelů Ochrana osobních údajů Bezpečnostní politika Software a právo Legální software Management jakosti Výběr a řízení dodavatelů Pracovněprávní minimum manažerů
VíceSystém managementu jakosti ISO 9001
Systém managementu jakosti ISO 9001 Požadavky na QMS Organizace potřebují prokázat: schopnost trvale poskytovat produkt produkt splňuje požadavky zákazníka a příslušné předpisy zvyšování spokojenosti zákazníka
Více1. Politika integrovaného systému řízení
1. Politika integrovaného systému řízení V rámci svého integrovaného systému řízení (IMS) deklaruje společnost AARON GROUP spol. s r.o. jednotný způsob vedení a řízení organizace, který splňuje požadavky
VícePlatná od Bezpečnostní politika. Deklarace
Platná od 1. 5. 2016 Bezpečnostní politika Deklarace 2 Swiss Life Select Bezpečnostní politika Deklarace 1. Předmět a účel Předmětem této Bezpečnostní politiky je definovat celkový rámec a pravidla pro
VíceManagement informační bezpečnosti
Management informační bezpečnosti Definice V Brně dne 3. října 2013 Definice Common Criterta ITIL COBIT CRAMM Přiměřená ábezpečnostč Management informační bezpečnosti 2 Common Criteria Common Criteria
VíceGDPR SNADNO.info. Ing. Lukáš Přibyl, předseda NSMC Network Security Monitoring Cluster
GDPR SNADNO.info Ing. Lukáš Přibyl, předseda NSMC Network Security Monitoring Cluster +420 549 492 289 lukas.pribyl@nsmcluster.com Profil Network Security Monitoring Cluster Network Security Monitoring
VíceInovace bakalářského studijního oboru Aplikovaná chemie http://aplchem.upol.cz
http://aplchem.upol.cz CZ.1.07/2.2.00/15.0247 Tento projekt je spolufinancován Evropským sociálním fondem a státním rozpočtem České republiky. 9. přednáška Normy ISO 9001, ISO 14001 a OHSAS 18001 Doc.
VíceBezpečnostní politika a dokumentace
Bezpečnostní politika a dokumentace Ing. Dominik Marek Kraj Vysočina Kraj Vysočina správce VIS dle zákona č. 181/2014 o kybernetické bezpečnosti VIS (zatím) Webový portál (Webové stránky kraje) Elektronický
VíceWS PŘÍKLADY DOBRÉ PRAXE
WS PŘÍKLADY DOBRÉ PRAXE ISO 9001 revize normy a její dopady na veřejnou správu Ing. Pavel Charvát, člen Rady pro akreditaci Českého institutu pro akreditaci 22.9.2016 1 ISO 9001 revize normy a její dopady
VíceTyp aktiv Aktivum Hrozba Zranitelnost Riziko
Zbytková rizika Typ aktiv Aktivum Hrozba Zranitelnost Částečná úroveň rizika Snížení hrozby Snížení zranit. Zbytkové Namapovaná opatření Riziko C I A T MAX Hodnota MAX Hodnota riziko ISO? specif.? Datová
VíceZkouška ITIL Foundation
Zkouška ITIL Foundation Sample Paper A, version 5.1 Výběr z více možností Pokyny 1. Měli byste se pokusit odpovědět na všech 40 otázek. 2. Všechny svoje odpovědi vyznačte na samostatný formulář, který
Více2. setkání interních auditorů ze zdravotních pojišťoven
2. setkání interních auditorů ze zdravotních pojišťoven Současné výzvy IT interního auditu 20. června 2014 Obsah Kontakt: Strana KPMG průzkum stavu interního auditu IT 2 Klíčové výzvy interního auditu
VíceShoda s GDPR do 4-6 měsíců! Sen či utopie?
Shoda s GDPR do 4-6 měsíců! Sen či utopie? Tomáš Veselý 14. 9. 2017 Praha Od cíle jste jen 8 kroků Základní audit řízení IT Datová inventura Audit zabezpečení Technická Organizační Smluvní Schválení Realizace
VíceAUDITOR KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.5/2007
Gradua-CEGOS, s.r.o., Certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 AUDITOR KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ
VíceImplementace BEZPEČNOSTNÍ POLITIKY v organizaci. RNDr. Luboš Číž, CISA, CISM DCIT, a.s.,
Implementace BEZPEČNOSTNÍ POLITIKY v organizaci RNDr. Luboš Číž, CISA, CISM ciz@dcit.cz DCIT, a.s., http://www.dcit.cz AGENDA Bezpečnostní politika ví každý co to je? Typy bezpečnostních politik Postup
VíceCobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004
CobiT Control Objectives for Information and related Technology Teplá u Mariánských Lázní, 6. října 2004 Agenda Základy CobiT Pojem CobiT Domény CobiT Hodnocení a metriky dle CobiT IT Governance Řízení
VíceČESKÁ TECHNICKÁ NORMA
ČESKÁ TECHNICKÁ NORMA ICS 35.040 Červenec 2009 Informační technologie Bezpečnostní techniky Řízení rizik bezpečnosti informací ČSN ISO/IEC 27005 36 9790 Information technology Security techniques Information
VíceOrganizační opatření, řízení přístupu k informacím
Organizační opatření, řízení přístupu RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost,
VíceČSN EN ISO (únor 2012)
ČSN EN ISO 50001 (únor 2012) nahrazuje ČSN EN 16001 z 02/2010 kompatibilní s ISO 9001 a ISO 14001 Seminář: ČSN EN ISO 50001: 2012 Zadavatel: EKIS Délka přednášky: 1 hodina Přednášející: Ing. Vladimír Novotný
VíceO autorech Úvodní slovo recenzenta Předmluva Redakční poznámka... 18
SMEJKAL Vladimír RAIS Karel ŘÍZENÍ RIZIK Obsah O autorech... 9 Úvodní slovo recenzenta... 13 Předmluva... 15 Redakční poznámka... 18 1. Zobrazení života podniku... 19 1.1 Jaké jsou příčiny neúspěchu v
VíceBezpečnostní opatření a audit shody se ZKB. Ing. Martin Konečný,
Bezpečnostní opatření a audit shody se ZKB Ing. Martin Konečný, 13. 9. 2016 opřístup NBÚ ke kontrolám ZKB okontrolovaná bezpečnostní opatření opříprava a průběh ostatistiky onejčastější typy zjištění odotazy
VíceMEZINÁRODNÍ NORMY A DIGITÁLNÍ KONTINUITA. Tomáš Bezouška Praha,
MEZINÁRODNÍ NORMY A DIGITÁLNÍ KONTINUITA Tomáš Bezouška Praha, 10. 10. 2017 Digitální kontinuita je soubor procesů, opatření a prostředků nutných k tomu, abychom byli schopni zajistit dlouhodobou důvěryhodnost
Více5 ZÁKLADNÍ PRINCIPY SYSTÉMOVÉHO ŘÍZENÍ BOZP
5 ZÁKLADNÍ PRINCIPY SYSTÉMOVÉHO ŘÍZENÍ BOZP Zaměstnavatelé mají zákonnou povinnost chránit zdraví a životy svých zaměstnanců a ostatních osob vyskytujících se na jejich pracovištích. Další důležitou povinností
VíceBezpečnostní aspekty informačních a komunikačních systémů KS2
VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní aspekty informačních a komunikačních systémů KS2 VŠFS; Aplikovaná informatika; SW systémy
VíceŠkolení QMS pro zaměstnance společnosti ČSAD Tišnov, spol. s r.o.
Školení QMS pro zaměstnance společnosti ČSAD Tišnov, spol. s r.o. Ing. Pavel Trvaj QESTR Spojenců 876 674 01 Třebíč pavel.trvaj@qestr.cz IČ: 68660910 Řízení QMS Co je to kvalita? Řízení QMS jakost (kvalita)
VíceCYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe
CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe Ing. Aleš Špidla Ředitel odboru bezpečnostní politiky MPSV Člen rady Českého institutu manažerů informační bezpečnosti Ales.spidla@mpsv.cz,
VíceDOTAZNÍK příloha k žádosti
SILMOS-Q s. r. o. Certifikační orgán pro certifikaci systémů managementu akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17021 Křižíkova 70, 612 00 Brno + 541 633 291 e-mail:
VíceBezpečnostní normy a standardy KS - 6
VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní normy a standardy KS - 6 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 2 Osnova historický
VíceZákonné povinosti v oblasti energetické účinnosti. Ing. Simon Palupčík, MBA
Zákonné povinosti v oblasti energetické účinnosti Ing. Simon Palupčík, MBA Snímek 1 Směrnice 2012/27/EU o energetické účinnosti Členské státy zajistí, aby podniky, které nejsou malými a středními podniky,
VíceZkušenosti z nasazení a provozu systémů SIEM
Zkušenosti z nasazení a provozu systémů SIEM ict Day Kybernetická bezpečnost Milan Šereda, 2014 Agenda Souhrn, co si má posluchač odnést, přínosy: Představení firmy Co je to SIEM a k čemu slouží Problematika
VíceZÁKLADNÍ NABÍDKA SLUŽEB
ZÁKLADNÍ NABÍDKA SLUŽEB CROSSLINE SERVICES s.r.o. Jeremiášova 870 155 00 Praha 5 IČO: 241 43 065 DIČ: CZ24143065 Kontaktní osoba: Ing. Veronika Kimmer GSM: +420 777 755 618 veronika.kimmer@crosslineservices.cz
VíceNástroje IT manažera
Obsah Nástroje IT manažera Školení uživatelů Ochrana osobních údajů Bezpečnostní politika Software a právo Legální software Management jakosti Výběr a řízení dodavatelů Pracovněprávní minimum manažerů
VícePředstavení služeb DC SPCSS Státní pokladna Centrum sdílených služeb
Představení služeb DC SPCSS Státní pokladna Centrum sdílených služeb Datové centrum SPCSS Představení služeb DC SPCSS str. 2 Proč jsme na trhu Mise Předmětem podnikání státního podniku SPCSS je provozování
Více