Standardy (normy) a legislativa. informacn bezpecnosti. Standardy (normy) a legislativa. PV 017 Bezpecnost IT
|
|
- Simona Kovářová
- před 5 lety
- Počet zobrazení:
Transkript
1 Standardy (normy) a legislativa Standardy (normy) a legislativa informacn bezpecnosti PV 017 Bezpecnost IT Jan Staudek Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2017 Cl predn asky o standardech a standardizaci { umet odpovedet na ot azky: Co to jsou standardy, normy, doporucen? Jak vznikaj standardy a doporucen? Kdo je kdo ve svete standard u a doporucen? Kter e standardy informacn bezpecnosti jsou reprezentativn? Standardizacn organizace a principy jejich cinnosti a p usoben Upozorn en na hlavn de-iure standardy InfSec Generick a pr avn hlediska { koncept relevantnch pr avnch princip u Legislativa v CR souvisejc s InfSec GPDR, General Data Protection Regulation Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 1 What is a standard?, ISO/IEC Guide 2: 1996 Standard, norma, doporucen = dokumentovan a umluva A document, established by consensus and approved by a recognized body, that provides, for common and repeated use, rules, guidance or characteristics of activities and their results, aimed at the achievement of the optimum degree of order in a given context. Dokument stanoven y na z aklade konsenzu a schv alen y uznan ym org anem, kter y poskytuje pro obecn e a opakovan e pouzit pravidla, pokyny nebo charakteristiky aktivit a jejich v ysledk u, zameren y na dosazen optim alnho stupne uspor ad an v dan em kontextu. umluva { o technick e specikaci nebo { o jin em podobn em presne stanoven em krit eriu cl umluvy pravidlo/smernice denujc charakteristick e vlastnosti materi al u, v yrobk u, proces u, sluzeb,... umoz nuje, aby materi aly, v yrobky, procesy, sluzby,,... byly takov e, jak e se zam ysl, ze maj b yt { form at platebn karty, { protokol komunikace, { politika poskytov an sluzby, {... Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 2 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 3
2 Standard, norma, doporucen = dokumentovan a umluva Standard, norma, doporucen = dokumentovan a umluva standard nebo norma? v Cesku (mimo oblast IT) se tradicne pouzv a pojem,,norma\, coz je historick y vliv nemciny v oblasti IT celosvetove pojem,,norma\ vesmes prohr av a s pojmem,,standard\ { d ano vlivem progresivn globalizac anglictiny Doporucen (recommendation) { termn pouzvan y n ekter ymi organizacemi vyd avajc standardy msto termnu,,standard"(itu { telekomunikace,... ) Standard vyvinut y na b azi konsensu jist e komunity, de facto standard standard vypracovan y v r amci jist e komunity, kter a si pred jeho vyd anm odsouhlas, ze standard odpovd a j stanoven ym cl um napr. dokumenty RFC vyd avan e IETF pro oblast Internetu de facto standard reprezentuje spse liber aln pohled na svet Standard,,podle pr ava\, de iure standard umluva schv alen a uzn avanou instituc poverenou tmto posl anm legislativou, rozhodnutm st atnch autorit,... standardy implicitne nejsou pr avne z avazn e, jist a pr avn norma ale m uze predepsat povinnost vyhoven (obvykle de iure) standardu typicky standardy vyd avan e organizacemi ISO, IEC, ITU,... de iure standard reprezentuje silne konzervativn pohled na svet konzervativci od liber al u prebraj co prebrat cht ej a co prebrat stac de facto standardy se vyd avaj rychleji vyzr al e de facto standardy, kter e se uk azaly jako efektivn, se casto prepracov avaj/prebraj na de iure standardy Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 4 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 5 Standard, norma, doporucen = dokumentovan a umluva Vyhov en standardu vs. certikace Z avaznost standard u z adn y standard s am o sobe nem a charakter pr avnho predpisu pr avn predpis m uze stanovit povinn e vyhoven standardu { v tom prpade se obvykle d av a prednost de iure standard um Mezin arodn charakter standard u v yrobci standardizovan ych produkt u/proces u v glob alnm prostred mus zvolit standard, kter emu proces/produkt vyhovuje tudz je nutn e zabr anit prlisn e diverzikaci prosazov an,,spr avn ych"technik,... mnoho standardů pokroku v technologiích smrt Compliance (vyhov en) vs. Certication (certikace) Produkt, sluzba, proces,... m uze b yt prohl asena za vyhovujc standardu prohl asen, ze produkt, sluzba, proces,... spl nuje podmnky denovan e standardem pozadavek vyhoven m uze b yt predepsan y z akonem, smlouvou,... Produkt, sluzba, proces,... m uze b yt certikovan y, tj. existuje certik at potvrzujc, ze je vyhovujc standardu Certikace { neutr aln d uveryhodn a tret strana prover validitu prohl asen o vyhoven standardu a vyd a o tom relevantn certik at Standardy denujc napr. algoritmus, jsou snadno certikovateln e Standardy n avod u jak budovat syst em/sluzbu jsou spse radou a certikace se obvykle nepozaduje Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 6 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 7
3 Probl emy standardizace Standard mus b yt odsouhlasen y vsemi cleny komunity mnoho r uzn ych pohled u na to, co je spr avn e pokud se do standardu dostane velk a sk ala voleb a povinn ych predpoklad u, obtzne a n akladne se implementuje to byl jeden z d uvod u proc model TCP/IP zvtezil nad modelem OSI Standard je jen dokument interpretace se mohou lisit, zvl aste pri prekladu do r uzn ych jazyk u Pokud produkt vyhov jen podstatn e c asti standardu, pak v podstat e vyhovuje standardu, ale nen vyhovujc standardu Pokud siln y v yrobce nahrad nez avisl e standardy sv ymi propriet arnmi standardy, v aze z akaznky na svoji propriet arn funkcionalitu Oblasti z ajmu de iure standard u univerz aln oblast bez portfeje { zahrnuje vse, bez omezen Celosvetove odpovedn a instituce: International Organization for Standardization ISO, ISO ISO { isos, stejn y, z adn y akronym!!! celosvetov a federace vce nez cca 160 clensk ych n arodnch (st atnch) standardizacnch organizac (ISO Member Bodies) ex. od r oblast elektroniky a elektrotechniky Celosvetove odpovedn a instituce: ISO + International Electrotechnical Commission, IEC oblast komunikac Celosvetove odpovedn a instituce: ISO + International Telecommunications Union, ITU, konkr etne jej T-sektor, sektor standardizace, ITU-T, od r n aslednick y org an CCITT ((1865) 1956{1993), Comité Consultatif International Téléphonique et Télégraphique Informacn bezpecnost je predm etem z ajmu ve vsech trech linich. Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 8 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 9 Pr ace na de iure standardech v oblasti IT,,Spolecn y technick y v ybor cslo c. 1\, Joint Technical Committee, ISO/IEC JTC1 zrzen y ISO a IEC v destk ach podv ybor u (Subcommittee, SC) res ISO/IEC JTC1 standardizaci v r uzn ych oblastech IT Informacn bezpecnosti se venuje SC 27, Security Techniques { v soucasnosti v SC27 p usob cca 40 clensk ych st at u Provozn z alezitosti chodu ISO/IEC JTC1 zajist'uje jeho odbor ITTF, IT Task Force ISO TC 68, ISO Technical Committee 68, Financial Services Informacn bezpecnosti se venuje podv ybor SC 2, Security Management and General Banking Operations Doporucen (ekvivalent standardu) v oblasti komunikac vyd av a ITU-T ITU-T casto uzce spolupracuje s ISO/IEC JTC1 Evropsk e de iure standardizacn organizace Comit e Europ een de Normalisation, CEN odpovd a svoj p usobnost ISO Comit e Europ een de Normalisation El ectrotechnique, CENELEC odpovd a svoj p usobnost IEC European Telecommunications Standards Institute, ETSI odpovd a svoj p usobnost ITU Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 10 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 11
4 N arodn (st atn) de iure standardizacn organizace V yznamn e postaven U.S.A. reprezentuj st at v ISO { ISO Member Bodies nejreprezentativn ejs normalizacn organizace v dan e zemi standardy,,siln ych\ organizac (ANSI, BSI, DIN,... ) jsou mnohdy respektov any a pragmaticky uzn av any i mezin arodn e Prklady ANSI { (U.S.A.), American National Standards Institute BSI { (U.K.), British Standard Institute DIN { (Nemecko), Deutsches Institut f ur Normung SCC { (Kanada), Standards Council of Canada AFNOR { (Francie), Association Francaise de Normalisation... CSNI { Cesk y normalizacn institut vseobecn e mezin arodn respektov an a uzn av an je d ano urovn severoamerick ych technologi Institute of Electrical and Electronics Engineers, IEEE profesion aln org an inzen yr u v oblasti elektroniky a elektrotechniky normy IEEE vesmes maj v yrazn y mezin arodn v yznam a dopad mj. se v yrazne zameruje i na normy bezpecnosti zn am e jsou IEEE standardy LAN (IEEE 802.xx), resp. OS (POSIX) National Institute for Standards and Technology, NIST vl adn standardizacn org an, vyd av a standardy feder aln st atn spr avy USA n astupce NBS (National Bureau of Standards) vyd av a tzv. FIPS, Federal Information Processing Standards Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 12 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 13 V yznamn e postaven U.S.A. American National Standards Institute, ANSI z astupce USA v organizaci ISO venuje se mj. i normalizacn cinnosti v oblasti bezpecnosti IT, zvl aste pak norm am bezpecnosti bankovnho sektoru Prklad oblasti de facto standard u { RFC (ISOC) RFC (Request for Comment) n azev internetovsk ych standard u, d ano historickou souvislost V pozad p usob { Internet Society, ISOC institucion alnch, 6000 individu alnch clen u z cca 100 zem Internet reprezentuje { Internet Activities Board, IAB rada pro internetovsk e cinnosti manazersky spravuje a rd provoz Internetu prov ad dohled nad architekturou protokol u a procedur zalozena v r. 1983, m a individu alnch 13 clen u hlavn odpovednost za v yvoj a posuzov an RFC IAB delegovala na technickou poradn komisi { IETF, Internet Engineering Task Force Konecn e rozhodnut o vyd an (prijet) RFC del a IAB Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 14 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 15
5 Prklad oblasti de facto standard u { OWASP Prklad oblasti de facto standard u { ISACA OWASP, The Open Web Application Security Project a worldwide free and open community focused on improving the security of application software standard v yvoje bezpecn e webovsk e aplikace standard testov an bezpecn e webovsk e aplikace standard hodnocen a kriteria z aruk za bezpecnost bezpecn e webovsk e aplikace ISACA, Information Systems Audit and Control Association mezin arodn organizace auditor u v ypocetnch syst em u v r vyd av a COBIT, The Control Objectives for Information and related Technology a set of best practices (framework) for information technology management Cl COBIT: výzkum, vývoj, podpora a zveřejňování odborně věrohodného, aktuálního a mezinárodně platného souboru obecně uznávaných cílů řízení informačních technologií pro každodenní používání manažery a auditory. Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 16 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 17 Prklad oblasti de facto standard u { ISF Firemn, propriet arn standardy ISF, Information Security Forum mezin arodn nez avisl a, neziskov a venujc se meren a rozvoji praktik v informacn bezpecnosti v r vyd av a volne dostupn y standard (SoGP), The Standard of Good Practice { a detailed documentation of best practice for information security Cl ISF: derives from the ISO/IEC and COBIT v4.1. standards and outlines a functional information security methodology based on both research and real world experience kategorie de facto standard u obvykle standardy patentovan ych technik v yznamn y n astroj pro,,udrzen trhu"silnou spolecnost mnohdy hraj velmi silnou roli, napr. PKCS (Public-Key Cryptography Standards) publikovan y RSA Labs. Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 18 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 19
6 Proces normalizace ISO Proces normalizace ISO Odpov ednost za tvorbu norem v dlcch oblastech maj technick e v ybory,technical Committees, TC tak e nekdy technick e komise komis / v ybor u je cca 200 TC si urcuje sv uj program v r amci vymezen em jeho rodicovskou organizac (ISO) s am tak, aby zadan y ukol vyresil TC m uze delit svoji p usobnost mezi sv e podv ybory, SubCommittees, SC tak e subkomise, subkomis / podv ybor u je cca 500 SC obvykle del svoji p usobnost na pracovn skupiny, Working Groups, WG WG je v soucasnosti cca v pracovnch skupin ach se skutecne pracuje, v yse se jen schvaluje Evoluce standard u v r amci TC/SC/WG je pomal a na standardu se pracuje a obvykle nekolik (typicky 5) let Pro soucasn y rozvoj IT je to velmi brzdc faktor Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 20 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 21 Zivotn cyklus ISO standardu Zivotn cyklus ISO standardu n avrh nov e pracovn polozky NWI (New Work Item) a hlasov an v TC o NWI, jmenov an odpovedn eho editora s erie postupne vyd avan ych n avrh u standardu na urovni pracovn skupiny WD (Working Drafts) n avrh normy na urovni podv yboru (SC) CD (Committee Draft) a hlasov an v SC o CD (typicky po dobu 3 mesc u) n avrh mezin arodn normy DIS (Draft International Standard) a hlasov an v TC o DIS (obvykle po dobu 4{6 mesc u) konecn y n avrh mezin arodnho standardu FDIS (Final DIS) s dobou pro hlasov an 2 mesce pot e FDIS zsk av a statut mezin arodn normy p etilet a perioda hodnocen mezin arodnho standardu Kdyz se odhal-li se vada standardu { napr. byla podcenena rychlost rozvoje technologie jsou prijm ana opatren, aby standardy byly revidov any i drve nez v petilet em hodnotcm cyklu { syst em zpr av o vad ach ve standardech (Defect Report System) Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 22 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 23
7 ISO TR (Technical Reports) ISO TR (Technical Reports) Technick e zpr avy typu 1 se vyd av a tehdy, kdyz se ve v yboru nenalezla dostatecn a podpora pro vyd an standardu Rk a se v denici TR 1: navzdory opetovn e snaze nen mozn e prosadit materi al k vyd an jako r adn y standard dohoda nen mozn a, protoze n azory jednotliv ych n arodnch instituc (jednotliv ych clen u v yboru) se r uzn, standard nem uze b yt vydan y TR typu 1 je behem tr let po sv em vyd an predmetem revize, padne rozhodnut, zda bude premenena v mezin arodn standard Technick e zpr avy typu 2 vyd av a se v prpade, kdy standardizovan y predmet se st ale jeste z technick eho hlediska vyvj a za cas bude posouzeno, zda dohoda jiz mozn a je Rk a se v denici TR 2: predmet z ajmu normy je st ale ve st adiu rozvoje nebo existuje jin y d uvod, pro kter y nen mozn e schv alit mezin arodn standard okamzite, v budoucnu to vsak zrejme mozn e bude TR typu 2 je behem tr let po sv em vyd an predmetem revize, padne rozhodnut, zda bude premenena v mezin arodn standard Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 24 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 25 ISO TR (Technical Reports ISO/IEC/JTC1/SC 27 Security Techniques Technick e zpr avy typu 3 se vyd avaj o probl emech, kter e bezne nepodl ehaj technick e standardizaci, ale urcit y n avrh je natolik v yznamn y a po form aln str ance pripraven y, ze bylo zhled ano jeho vyd an alespo n formou technick e zpr avy jako vhodn e Rk a se v denici TR 3: technick y v ybor shrom azdil r uzn e podklady, ze kter ych je norm alne publikov an mezin arodn standard TR typu 3 nen znovu posuzov ana, pokud informace v nich obsazen e nejsou shled any neplatn ymi ci neuzitecn ymi TR typu 3 je obvykle dokument metodick eho charakteru skutecnost, ze se jedn a,,pouze" o technickou zpr avu a nikoli o r adn y mezin arodn standard, vsak z vecn eho hlediska nijak nesnizuje v yznam dokumentu TR 3 je napr. ISO/IEC TR Smernice pro spr avu bezpecnosti IT Orientace { standardizace generick ych metod a technik bezpecnosti IT identikace generick ych bezpecnostnch pozadavk u na IT syst emov e bezpecnostn sluzby v yvoj bezpecnostnch technik a mechanism u { kryptograck e algoritmy pro utajovac, integritn, autentizacn, podepisovac,... sluzby (ne pro aplikace) procedury vztahy mezi bezpecnostnmi komponentami v yvoj bezpecnostnch n avod u (anal yza rizik) v yvoj manazersk ych dokument u a standard u (hodnotc krit eria) Vnitrn struktura WG1: Requirements, security services and guidelines WG2: Security techniques and mechanisms WG3: Security evaluation criteria Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 26 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 27
8 Hlavn standardy vydan e ISO/IEC/JTC1/SC 27/WG1 V soucasnosti predevsm rodina standard u ISO/IEC vce viz doporucen jak rdit informacn bezpecnost, resit zvl ad an rizik a jak implementovat opatren v kontextu cel eho syst emu syst emu rzen informacn bezpecnosti. V současnosti celosvětové uznávaný základní standard zajišt ování informační bezpečnosti Rodina standard u ISO/IEC 27000, ISO/IEC 27001:2013 Information Security Management System { Requirements denuje pozadavky na funkcionalitu a vlastnosti syst emu spr avy (rzen) informacn bezpecnosti pozadavky na mozn a bezpecnostn opatren vymezuje standard ISO/IEC ISO/IEC je p uvodne britsk y standard BS standard je detailnm popisem pozadavk u, kter e mus / m a ISMS splnit, v origin ale se pouzv a must a shall, pokud ISMS chce standardu vyhov et je nez avisl y na technologii, urcen y pro organizace vsech typ u, velikost a podstat, p usobcch v jak emkoli sektoru (komerce, st atn spr ava, neziskovky), kdekoli ve sv et e Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 28 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 29 Rodina standard u ISO/IEC 27000, ISO/IEC 27001:2013 v dodatku standard uv ad seznam cl u opatren denovan ych v ISO/IEC ISO/IEC obsahuje n avody, jak je implementovat Povinn ym pozadavkem je porovnat opatren zvolen a pri zvl ad an rizik proti dodatku 27001, aby byla jistota, ze se na nic nezapomnelo narizuje pouzt jak zdroj n avod u pro volbu a implementaci opatren, nezakazuje pouzit i dalsch zdroj u Seznam cl u a opatren v dodatku nen ch ap an jako upln y, vycerp avajc, podle potreby lze dopl novat dals cle a opatren ISMS organizace lze certikovat na vyhov en ISO/IEC Rodina standard u ISO/IEC 27000, ISO/IEC 27002:2013 Code of practice for information security management doporucen jak navrhovat, implementovat, udrzovat a vylepsovat opatren prosazujc informacn bezpecnost, pouzv a slova may, should (m uze, mel by) p uvodne britsk y standard BS 7779, pot e standard ISO/IEC 17779, nyn standard ISO/IEC 27002:2013 jde o mezin arodn e uzn avan e nejleps praktiky rzen informacn bezpecnosti je n avodem, jak implementovat certikovateln y ISMS, extern auditor se m uze na odkazovat standard ISO/IEC je kodexem, radami pro budov an bezpecn eho syst emu, obvykl e je deklarovat vyhov en standardu, certikace vyhov en ISO/IEC se ned el a Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 30 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 31
9 Rodina standardu ISO/IEC k Rodina standardu ISO/IEC k X Cerven ym oramov an m jsou indikovane standardy, se kterymi se mj. setkav ame v ramci p redm etu PV017 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 32 Rodina standardu ISO/IEC k Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 33 Rodina standardu ISO/IEC k Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 35
10 Rodina standard u ISO/IEC k Rodina standard u ISO/IEC k Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 36 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 37 Prklady dalsch standard u vydan ych... JTC1/SC 27/WG1 ISO/IEC TR 15945, Specication of TTP services to support the application of digital signatures spolecn y standard s doporucenm X.843 ITU-T ISO/IEC TR 18043, System deployment a operations of intrusion detection systems { IDS technick a zpr ava s metodick ym n avodem jak zahrnout IDS do IT infrastruktury ISO/IEC TR 18044, Information security incident management technick a zpr ava s metodick ym n avodem pro spr avu reakce na bezpecnostn incident Typy standard u vydan ych...jtc1/sc 27/WG2 Orientace { kryptograck e a autentizacn techniky a mechanismy ISO/IEC 9796, 2000{2002, Digital signature schemes giving message recovery ISO/IEC 9797, 1999{2002, MACs, Message authentication Codes ISO/IEC 9798, 1997{2000, Entity Authentication ISO/IEC 10116, 1997, Modes of operation for n-bit block cipher algorithm ISO/IEC 10118, 1998{2000, Hash function ISO/IEC 11770, 1996{1999, Key management ISO/IEC 13888, 1997{1998, Non-repudation ISO/IEC 14888, 1998{1999, Digital signature schemes with appendix ISO/IEC 15946, Cryptographic techniques based on elliptic curves ISO/IEC 18014, 2002, Time stamping services ISO/IEC 18033, Ecryption algorithms Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 38 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 39
11 Standard vydan y ISO/IEC/JTC1/SC 27/WG3 Standardy ISO/TC 68 Financial Services ISO/IEC Evaluation criteria for IT security ISO/IEC : Part 1: Introduction and general model ISO/IEC : Part 2: Security functional requirements ISO/IEC : Part 3: Security assurance requirements vsechny 3 c asti byly publikovan e v r vce v samostatn e predn asce Soucasn a struktura TC 68 SC2: Security management a general banking operations { hlavn p usobiste standardizace bezpecnosti IT { WG4 Information security guidelines fo banking { WG6 Framework for IT security for nancial institutions { WG10 Biometric information security { WG11 Encryption algorithm used in banking applications { WG12 Security in retail banking { WG14 Cryptographic syntax scheme for nancial services SC4: Securities and realted nancial instruments SC6: Retail nancial services SC7: Core banking WG2: International bank account number Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 40 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 41 Evropsk e iniciativy ve standardizaci informacn bezpecnosti NIST Special Publications (SP) Zastresuj CEN a ETSI Hlavn iniciativa { CEN/ISSS, Information Society Standardization System vznik koncem 90. let, uzk a n avaznost na CEN, ETSI, CENELEC cl: zkr acen ISO{doby tvorby ISO standardu (tou je 5 let) zav ad se velmi pruzn y princip prijm an pracovnch (de facto) standard u formou v ysledn ych dokument u standardizacnch workshop u (WS) ustanovovan ych podle potreby, tzv. CEN Workshop Agreements, CWA prklady CEN/ISSS workshop u Electronics Signatures, E-Sign eauthentication Data protection and Privacy, DPP Electronic Commerce,EC,... SP 800, Computer Security (December 1990-present): NIST's primary mode of publishing computer/cyber/information security guidelines, recommendations and reference materials SP 1800, NIST Cybersecurity Practice Guides (2015-present): Complement the SP 800s; targets specic cybersecurity challenges in the public and private sectors; practical, user-friendly guides to facilitate adoption of standards-based approaches to cybersecurity SP 500, Computer Systems Technology (January 1977-present): A general IT subseries used more broadly by NIST's Information Technology Laboratory (ITL) Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 42 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 43
12 Standard NIST, rodina SP 800, prklady (SP Special Publication) Standard ISACA, COBIT SP : An Introduction to Computer Security: The NIST Handbook SP : Generally Accepted Principles and Practices for Securing Information Technology Systems SP : Engineering Principles for IT Security SP : Risk Management Guide for Information Technology Systems SP : Electronic Mail Security SP : Building an Inf. Techn. Security Awareness and Training Program SP : Electronic Authentication Guidelines SP : Guide to Intrusion Detection and Prevention Systems (IDPS) SP : Guidelines for Secure Web Services SP : Information Security Handbook: A Guide for Mngrs COBIT { Control Objectives for Information and related Techn. 34 proces u, 230 rdicch n astroj u v oblastech { v dom en ach Plan and Organize jak m uze IT pomoc organizaci dos ahnout stanoven ych cl u Acquire and Implement identikace pozadavk u na IT a jejich implementace do st avajcch podnikatelsk ych proces u organizace Deliver and Support procesy umoz nujc efektivn beh syst emu Monitor and Evaluate strategie posuzov an potreb organizace, prok az an, zda st avajcc syst em st ale spl nuje cle, pro kter e byl navrzen y sirs z ab er nez ISO/IEC 27002, dopl nuj se, nekonkuruj si Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 44 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 45 Standard ISF, SoGP SoGP { Standard of Good Practice for Information Security sest klcov ych aspekt u Security management { rzen bezpecnosti Critical business applications { provozov an aplikac Computer installations { IT infrastruktura Networks { IT infrastruktura Systems development { v yvoj nov ych aplikac End user environment { prostred koncov ych uzivatel u popisy princip u a cl u, doporucen pokr yvajc implementaci Pr avn principy pravidla, kter a tvor z aklad urcit eho pr avnho institutu, z akona, pr avnho odvetv nebo pr avnho r adu v pr avnm st ate jsou pr avu imanentn (bytostne vlastn), bez ohledu na to, zda jsou ci nejsou v yslovne vyj adrena v platn ych pr avnch norm ach jsou vcem en e spolecn a pr avu zem s prbuznou kulturou jsou z akladem pr avnho r adu pr avnho st atu mely by b yt symbolick ym a alespo n c astecn ym racion alne pojmov ym vyj adrenm pr ava prirozen eho Pr avn normy (z akony, vyhl asky,... ) mohou b yt zruseny. Pr avn principy zruseny b yt nemohou a nemohou b yt ani vyvr aceny jakoukoli interpretac. Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 46 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 47
13 Pr avn principy Prklady pr avnch princip u Politikou (v oblasti pr ava) se rozum standard, kter y vytycuje cl, jehoz se m a dos ahnout, zpravidla zlepsen urcit e kvality... Pr avn princip je standard, kter y se m a dodrzovat nikoli proto, ze to pom uze dos ahnout nebo zajistit nejakou ekonomickou, politickou nebo soci aln situaci, kter a se povazuje za z adouc, ale proto, ze je pozaduje spravedlnost, slusnost nebo n ejak a jin a dimenze mor alky. Nemo ultra posse obligatur, k nemozn emu nen nikdo zav az an Lex retro non agit, z akon nep usob zpetne Ignorantia legis non excusat, neznalost z akona neomlouv a Pacta sunt servanda, smlouvy se maj dodrzovat Lex posterior derogat priori, z akon pozd ejs rus z akon drv ejs Lex specialis derogat generali, speci aln uprava rus pr avn upravu obecnou Lex superior derogat inferiori, z akon vyss pr avn sly rus z akon nizs pr avn sly Nullum crimen, nulla poena sine lege, nen zlocinu, nen trestu bez z akona Ne bis in idem, ne dvakr at o tomt ez Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 48 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 49 Cesk a legislativa souvisejc s informacn bezpecnost Cesk a legislativa v oblasti informacn bezpecnosti Z akon c. 181/2014 Sb., o kybernetick e bezpecnosti ucinnost z akladn principy viz d ale Z akon c. 106/1999 Sb., o svobodn em prstupu k informacm Povinn ymi subjekty, kter e maj podle tohoto z akona povinnost poskytovat informace vztahujc se k jejich p usobnosti, jsou st atn org any, uzemn samospr avn e celky a jejich org any a verejn e instituce. Z akon c. 101/2000 Sb., o ochrane osobnch udaj u osobnm udajem jak akoliv informace t ykajc se urcen eho nebo urciteln eho subjektu udaj u. Subjekt udaj u se povazuje za urcen y nebo urciteln y, jestlize lze subjekt udaj u prmo ci neprmo identikovat zejm ena na z aklade csla, k odu nebo jednoho ci vce prvk u, specick ych pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturn nebo soci aln identitu Z akon c. 240/2000 Sb., o krizov em rzen stanovuje p usobnost a pravomoc st atnch org an u a org an u uzemnch samospr avn ych celk u a pr ava a povinnosti pr avnick ych a fyzick ych osob pri prprave na krizov e situace, kter e nesouvisej se zajist'ov anm obrany Cesk e republiky pred vnejsm napadenm Z akon c. 365/2000 Sb., o informacnch syst emech verejn e spr avy Ex. vyhl aska c. 529/2006 Sb., o pozadavcch na strukturu a obsah informacn koncepce a provozn dokumentace a o pozadavcch na rzen bezpecnosti a kvality informacnch syst em u verejn e spr avy (vyhl aska o dlouhodob em rzen informacnch syst em u verejn e spr avy) Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 50 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 51
14 Cesk a legislativa v oblasti informacn bezpecnosti Z akon c. 480/2004 Sb., o nekter ych sluzb ach inf. spolecnosti sluzbou informacn spolecnosti se rozum jak akoliv sluzba poskytovan a elektronick ymi prostredky na individu aln z adost uzivatele podanou elektronick ymi prostredky, poskytovan a zpravidla za uplatu; sluzba je poskytnuta elektronick ymi prostredky, pokud je odesl ana prostrednictvm ste elektronick ych komunikac a vyzvednuta uzivatelem z elektronick eho zarzen pro ukl ad an dat Z akon c. 127/2005 Sb., o elektronick ych komunikacch Z akon c. 412/2005 Sb., o ochrane utajovan ych informac a o bezpecnostn zp usobilosti Ex. narzen vl ady c. 522/2005 Sb., kter ym se stanov seznamy utajovan ych informac Ex. vyhl aska c. 523/2005 Sb., o bezpecnosti informacnch a komunikacnch syst em u a dalsch elektronick ych zarzen nakl adajcch s utajovan ymi informacemi Z akon c. 181/2014 Sbb., o kybernetick e bezpecnosti, ideje Z akon nedot yk a uzivatel u ani poskytovatel u obsahu ve sluzb ach informacn spolecnosti dotcen e org any a osoby v oblasti kybernetick e bezpecnosti jsou subjekty spravujc specick e informacn a komunikacn syst emy specick e = zarazen e do kritick ych a v yznamn ych informacnch a komunikacnch syst em u pro bezpecnost st atu a v ykon spr avy st atu Cl: zajist en bezpecn eho fungov an informacn spolecnosti CR zajisten bezpecn e realizace z akladnho pr ava na informacn sebeurcen prostrednictvm informacnch syst em u, sluzeb a st elektronick ych komunikac nezasahuje do obsahov eho fungov an informacn spolecnosti, ale pouze si klade za cl zabezpecit proti umysln ym nebo nahodil ym kybernetick ym bezpecnostnm incident um informacn kan aly, jimiz clovek realizuje sv e pr avo na informacn sebeurcen a jimiz st at vykon av a sv a nedistributivn informacn pr ava. Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 52 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 53 Z akon c. 181/2014 Sb., o kybernetick e bezpecnosti, ideje Stanovuje minim aln pozadavky na standardn zabezpecen kritick e informacn infrastruktury a v yznamn ych informacnch syst em u Zav ad podmnky spolupr ace mezi soukromopr avnm n arodnm dohledov ym pracovist em (n arodn CERT) a vl adnm CERT CERT { Computer Emergency Response Team Syst em kybernetick e bezpecnosti podle z akona zahrnuje Bezpecnostn opatren Detekce kybernetick ych bezpecnostnch ud alost Hl asen kybernetick ych bezpecnostnch incident u Syst em opatren k reakci na kybernetick e bezpecnostn incidenty Cinnost dohledov ych pracovist' (n arodn CERT a vl adn CERT). Z akon c. 181/2014 Sb., o kybernetick e bezpecnosti, ideje NBU (Národní Bezpečnostní Úřad) vyd av a podle tohoto z akona vyhl asky o kybernetick e bezpecnosti vyhl aska 316/2014 Sb., Vyhl aska o bezpecnostnch opatrench, kybernetick ych bezpecnostnch incidentech, reaktivnch opatrench a o stanoven n alezitost pod an v oblasti kybernetick e bezpecnosti (vyhláška o kybernetické bezpečnosti) stanovuje { obsah a strukturu bezpecnostn dokumentace, { obsah bezpecnostnch opatren a rozsah jejich zaveden, { typy a kategorie kybernetick ych bezpecnostnch incident u, { n alezitosti a zp usob hl asen kybernetick eho bezpecnostnho incidentu, { n alezitosti ozn amen o proveden reaktivnho opatren a jeho v ysledku a { vzor oznamov an kontaktnch udaj u a jeho formu Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 54 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 55
15 Z akon c. 181/2014 Sb., o kybernetick e bezpecnosti, ideje NBU (Národní Bezpečnostní Úřad) vyd av a podle tohoto z akona vyhl asky o kybernetick e bezpecnosti vyhl aska 317/2014 Sb., Vyhl aska o v yznamn ych informacnch syst emech a jejich urcujcch krit erich stanovuje { urcujc krit eria v yznamn ych informacnch syst emech { v ycet v yznamn ych informacnch syst emech Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 56
Standardy (normy) a legislativa informacn bezpecnosti
Standardy (normy) a legislativa informacn bezpecnosti PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2017 Standardy (normy) a legislativa
VíceStandardy (normy) a legislativa. informacn bezpecnosti. Standardy (normy) a legislativa. PV 017 Bezpecnost IT
Standardy (normy) a legislativa Standardy (normy) a legislativa informacn bezpecnosti PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2016
VíceStandardy (normy) a legislativa. informacn bezpecnosti. Standardy (normy) a legislativa. PV 017 Bezpecnost IT
Standardy (normy) a legislativa Standardy (normy) a legislativa informacn bezpecnosti PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2019
VíceStandardy (normy) a legislativa informacn bezpecnosti
Standardy (normy) a legislativa informacn bezpecnosti PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2019 Standardy (normy) a legislativa
VíceRzen informacn bezpecnosti v organizaci
Rzen informacn bezpecnosti v organizaci Dodatek PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2016 Dodatek predn asky Oblasti rzen ovlivn
VíceRzen informacn bezpecnosti v organizaci
Dodatek predn asky Rzen informacn bezpecnosti v organizaci Dodatek PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Oblasti rzen ovlivn en e prosazov anm informacn
VícePrklad dokumentov e z akladny ISMS
Prklad dokumentov e z akladny ISMS podle z akona o kybernetick e bezpecnosti PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 Standard
VíceZdravotnická informatika z pohledu technických norem ISO a EN. RNDr. Vratislav Datel, CSc. Praha 26. dubna 2011
Zdravotnická informatika z pohledu technických norem ISO a EN RNDr. Vratislav Datel, CSc. Praha 26. dubna 2011 Co je technická norma? Technická norma je dokumentovaná úmluva obsahující technické specifikace
VíceProjekt implementace ISMS Dodatek 1, PDCA
Projekt implementace ISMS Dodatek 1, PDCA PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 PDCA { f aze Plan, podrobn eji 1. denov an oblasti
VíceTechnická komise ISO/JTC1/SC 27 Technická normalizační komise ÚNMZ TNK 20
ČSN ISO/IEC 7064 Information technology -- Security techniques -- Check character systems Zpracování dat. Systémy kontrolních znaků ČSN BS 7799-2 Information Security Management Systems -- Specification
VíceGPDR, General Data Protection Regulation
Obecn e narzen o ochran e osobnch udaj u, OU GPDR, General Data Protection Regulation PV 017 Rzen informacn bezpecnosti Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze :
VíceMFF UK Praha, 29. duben 2008
MFF UK Praha, 29. duben 2008 Standardy a normy (informace o předmětu) http://crypto-world.info/mff/mff_04.pdf P.Vondruška Slide2 Úvod 1. RFC (Request For Comment) 2. Standardy PKCS (Public-Key Cryptographic
VíceBezpečnostní normy a standardy KS - 6
VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní normy a standardy KS - 6 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 2 Osnova historický
VíceProjekt implementace ISMS
Projekt implementace ISMS PV 017 Bezpecnost IT Jan ÐStaudek Û Å«Æ ±²³ µ ¹º»¼½¾ Ý http://www..muni.cz/usr/staudek/vyuka/ Verze : podzim 2016 ISMS { Information Security Management System Metodicky vypracovan
VíceNormy ISO/IEC 27xxx Přehled norem
Normy ISO/IEC 27xxx Přehled norem V Brně dne 17. října 2013 Celosvětové normativní organizace Celosvětové neboli nadnárodní ISO - International ti Organization for Standardization di ti - Posláním ISO
VíceDistribuovan e algoritmy
Distribuovan e algoritmy PA 150 Principy operacnch syst em u Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 Distribuovan y syst em, distribuovan y algoritmus
VícePolitika informacn bezpecnosti
Politika Politika informacn bezpecnosti PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2019 Politika { pravidla rdic dosazen cl u urcen ymi
VíceAudit (prezkoum av an) bezpecnostnch opatren, politik, syst em u,...
Audit (prezkoum av an) bezpecnostnch opatren, politik, syst em u,... PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 Audit Audit (z lat.
VícePrklady opatren, zranitelnost a hrozeb
Prklady opatren, zranitelnost a hrozeb PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 Obsah Prklad kategori opatren podle ISO/IEC 27001/27002
VíceNormy ISO/IEC 27xxx Přehled norem
Normy ISO/IEC 27xxx Přehled norem V Brně dne 3. listopadu 2014 Celosvětové normativní organizace Celosvětové neboli nadnárodní ISO - International ti Organization for Standardization di ti - Posláním ISO
VíceAudit (prezkoum av an) bezpecnostnch opatren, politik, syst em u,...
Audit Audit (prezkoum av an) bezpecnostnch opatren, politik, syst em u,... PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 Audit (z lat.
VíceProjekt implementace ISMS
ISMS { Information Security Management System Projekt implementace ISMS PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 018 Syst em proces
VíceUvod, celkov y prehled problematiky
Organizace v yuky Uvod, celkov y prehled problematiky PV 169 Z aklady prenosu dat Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Predn as, zkous (zkouska psemn a) Jan Staudek,
VíceUvod, celkov y prehled problematiky
Uvod, celkov y prehled problematiky PV 169 Z aklady prenosu dat Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 Organizace v yuky Predn as, zkous (zkouska
VíceArchitektura protokolů
Architektura protokolů KIV/PD Přenos dat Martin Šimek O čem přednáška je? 2 co se rozumí architekturou protokolů? protokol a složky protokolu encapsulace protokolových složek ISO OSI RM Co se rozumí architekturou
VícePolitika informacn bezpecnosti, Dodatek
Obsah dodatku Politika informacn bezpecnosti, Dodatek PV 017 Bezpecnost IT Politika informacn bezpecnosti dle z akona o kybernetick e bezpecnosti Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û
VícePolitika informacn bezpecnosti, Dodatek
Politika informacn bezpecnosti, Dodatek PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2016 Obsah dodatku XXX tip u pro tvorbu politiky informacn
VíceProjekt implementace ISMS, Dodatek 2, Pozn amky k projektov emu rzen
Projekt implementace ISMS, Dodatek 2, Pozn amky k projektov emu rzen PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2016 Obsah dodatku predn
VíceCertifikační prováděcí směrnice
První certifikační autorita, a.s. Certifikační prováděcí směrnice (algoritmus RSA) Certifikační prováděcí směrnice (algoritmus RSA) je veřejným dokumentem, který je vlastnictvím společnosti První certifikační
VíceRzen reakc na bezpecnostn incidenty
Rzen reakc na bezpecnostn incidenty PV 017 Bezpecnost informacnch technologi Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 n Bezpecnostn ud alost, bezpecnostn
VíceNormy a standardy ISMS, legislativa v ČR
Normy a standardy ISMS, legislativa v ČR RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost,
Víceprojektu implementace ISMS
Obsah dodatku p redna sky Projekt implementace ISMS, Dodatek 2, Poznamky k projektovemu r zen 2 Podrobny popis kroku/v ystup u Projektu implementace ISMS 2 Poznamky, doporu cen k integraci ISMS s ostatn
Více212/2012 Sb. VYHLÁŠKA
212/2012 Sb. VYHLÁŠKA ze dne 13. června 2012 o struktuře údajů, na základě kterých je možné jednoznačně identifikovat podepisující osobu, a postupech pro ověřování platnosti zaručeného elektronického podpisu,
VíceKrit eria hodnocen informacn bezpecnosti
Motivace pro hodnocen Krit eria hodnocen informacn bezpecnosti PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2017 Existuje produkt (syt em)
VíceKrit eria hodnocen informacn bezpecnosti, dodatek
Dopln ek predn asky pro samostudium Krit eria hodnocen informacn bezpecnosti, dodatek Následující podklady jsou doplňkem přednášky určený pro rozšířující samostudium PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/
VíceTECHNICKÉ NORMY KDE A JAK VZNIKAJÍ
TECHNICKÉ NORMY KDE A JAK VZNIKAJÍ Ing. Václav Voves Oddělení Strojírenství, Odbor technické normalizace Úřad pro technickou normalizaci, metrologii a státní zkušebnictví www.unmz.cz CO PŘEDSTAVUJE TECHNICKÁ
VícePrávní a normativní rámec provozování drážních prostředků
Právní a normativní rámec provozování drážních prostředků Standardy jsou dokumentované úmluvy obsahující technické specifikace nebo jiná podobná přesně stanovená kritéria důsledně používaná jako pravidla,
VíceSekven cn soubory. PV 062 Organizace soubor u. Jan Staudek Verze : jaro 2018
Sekven cn soubory PV 062 Organizace soubor u Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2018 Klasick e, standardn organizace soubor u hromada sekvencn soubor
VícePostupy pro zavedení a řízení bezpečnosti informací
Postupy pro zavedení a řízení bezpečnosti informací ELAT s.r.o Lukáš Vondráček Preambule Prosil bych šroubek M6 asi takhle tlustej Standardy ISO / IEC 27000 SAS 70 /NIST a další... 1.1 Mezinárodní normy
VíceAplikacn bezpecnost. Informacn bezpecnost z pohledu aplikacnch syst em u. PV 017 Bezpecnost informacnch technologi
Informacn bezpecnost z pohledu aplikacnch syst em u Aplikacn bezpecnost PV 017 Bezpecnost informacnch technologi Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim
VíceVl akna. PB 152 Operacn syst emy. Jan ÐStaudek http://www..muni.cz/usr/staudek/vyuka/ Verze : jaro 2015
Vl akna PB 152 Operacn syst emy Jan ÐStaudek Û Å«Æ ±²³ µ ¹º»¼½¾ Ý http://www..muni.cz/usr/staudek/vyuka/ Verze : jaro 2015 Proces, resp. tak e task { drzitel zdroj u, vc. prostoru ve virtu aln pam eti
VícePodmínky úspěšného absolvování OM
Podmínky úspěšného absolvování OM získání zápočtu odevzdání a úspěšné obhájení SP aktivní účast na cvičeních (2 až 9 týden) zkouška písemná + ústní předtermín 14. 1. 2014 KLASIFIKACE VLASTNOSTÍ ODĚVNÍCH
VíceAplikacn bezpecnost. PV 017 Bezpecnost informacnch technologi. Jan Staudek Verze : podzim 2017
Aplikacn bezpecnost PV 017 Bezpecnost informacnch technologi Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2017 Informacn bezpecnost z pohledu aplikacnch syst
VíceLeitfaden für das Audit von Qualitätssicherungssystemen - Teil 1: Auditdurchführung
ČESKOSLOVENSKÁ NORMA MDT:658.56 Duben 1992 SMĚRNICE PRO PROVĚŘOVÁNÍ SYSTÉMŮ JAKOSTI Část 1: Prověřování ČSN ISO 10011-1 01 0330 Guidelines for auditing quality systems - Part 1: Auditing Lignes directrices
VíceISMS { Syst em rzen informacn bezpecnosti
ISMS { Syst em rzen informacn bezpecnosti PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 Syst em rzen informacn bezpecnosti Information
VíceISMS { Syst em rzen informacn bezpecnosti
Syst em rzen informacn bezpecnosti ISMS { Syst em rzen informacn bezpecnosti PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 Information
VíceMANAGEMENT KYBERNETICKÉ BEZPEČNOSTI
MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI TÉMA Č. 4 ISO NORMY RODINY 27K pplk. Ing. Petr HRŮZA, Ph.D. Univerzita obrany, Fakulta ekonomiky a managementu Katedra vojenského managementu a taktiky E-mail.: petr.hruza@unob.cz
VíceTECHNICKÁ NORMALIZACE SYSTÉM TECHNICKÉ NORMALIZACE
TECHNICKÁ NORMALIZACE SYSTÉM TECHNICKÉ NORMALIZACE Vypracováno kolektivem autorů České společnosti pro technickou normalizaci Úřad pro technickou normalizaci, metrologii a státní zkušebnictví www.unmz.cz
VíceISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok
ISO 9000, 20000, 27000 Informační management VIKMA07 Mgr. Jan Matula, PhD. jan.matula@fpf.slu.cz III. blok ITSM & Security management standard ISO 9000-1 ISO 9000:2015 Quality management systems Fundamentals
VíceCo je to COBIT? metodika
COBIT Houška, Kunc Co je to COBIT? COBIT (Control OBjectives for Information and related Technology) soubor těch nejlepších praktik pro řízení informatiky (IT Governance) metodika určena především pro
VíceB azov y fenom en pri zajist'ov an bezpecnosti { riziko
B azov y fenom en pri zajist'ov an bezpecnosti { riziko Kdyz existuje potenci aln utocnk, kter y je schopn y dky zranitelnosti jist eho informacnho aktiva narusit n ekterou z bezpecnostnch vlastnost aktiva
VíceKoncept informacn bezpecnosti
Koncept informacn bezpecnosti PV 017 Rzen informacn bezpecnosti Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2016 Motto Bezpecnost nen cern a a bl a, bezpecnost
VíceČESKÁ TECHNICKÁ NORMA
ČESKÁ TECHNICKÁ NORMA ICS 35.240.80 Říjen 2013 Zdravotnická informatika Auditní záznamy elektronických zdravotních záznamů ČSN EN ISO 27789 98 2025 idt ISO 27789:2013 Health informatics Audit trails for
VícePOPIS STANDARDU CEN TC278/WG4. 1 z 5. Oblast: TTI. Zkrácený název: Zprávy přes CN 4. Norma číslo:
POPIS STANDARDU CEN TC278/WG4 Oblast: TTI Zkrácený název: Zprávy přes CN 4 Norma číslo: 14821-4 Norma název (en): Traffic and Traveller Information (TTI) TTI messages via cellular networks Part 4: Service-independent
VíceTECHNICKÁ NORMALIZACE V OBLASTI PROSTOROVÝCH INFORMACÍ
TECHNICKÁ NORMALIZACE V OBLASTI PROSTOROVÝCH INFORMACÍ Ing. Jiří Kratochvíl ředitel Odboru technické normalizace Úřad pro technickou normalizaci, metrologii a státní zkušebnictví kratochvil@unmz.cz http://cs-cz.facebook.com/normy.unmz
VíceZMĚNA ČESKÉHO OBRANNÉHO STANDARDU. AAP-48, Ed. B, version 1
ZMĚNA ČESKÉHO OBRANNÉHO STANDARDU Označení a název ČOS 051655, PROCESY ŽIVOTNÍHO CYKLU SYSTÉMŮ V NATO Změna č. 1 Část č. 1 Původní verze Str. 3 Nová verze Str. 3 AAP-48, Ed. B, version 1 NATO SYSTEM LIFE
VíceProblematika archivace elektronických dokumentů v CR a EU normy, standardy. M.Širl
Problematika archivace elektronických dokumentů v CR a EU normy, standardy StorageWorld 2013 M.Širl ÚNOR 2013 Agenda Expanze v používání el.dokumentů Jak na to reaguje ČR Jak na to reaguje EU Celeovropské
VíceKoncept informacn bezpecnosti
Motto Koncept informacn bezpecnosti PV 017 Rzen informacn bezpecnosti Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2016 Bezpecnost nen cern a a bl a, bezpecnost
VíceProjekt implementace ISMS Dodatek 4, Prklad politiky ISMS
Prklad kapitol politiky informacn bezpecnosti pro ISMS Projekt implementace ISMS Dodatek 4, Prklad politiky ISMS PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾
VíceVl akna. Proces a vl akna. PB 152 Operacn syst emy. Resen editoru pomoc vl aken. Koncept sekvencnho procesu m uze b yt neefektivn
Proces a vl akna Vl akna PB 15 Operacn syst emy Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Proces, resp. tak e task { drzitel zdroj u, vc. prostoru ve virtu aln pameti pro
VícePodsyst em vstupu a v ystupu
Podsyst em vstupu a v ystupu PB 152 Operacn syst emy PV 062 Organizace soubor u Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2016 Osnova predn asky Vstup/v ystup
VíceStandardy a definice pojmů bezpečnosti informací
Standardy a definice pojmů bezpečnosti informací Robert Gogela, CISA, CISM Lidská společnost se snaží na vše vytvořit normy a potom trestat ty, kdo normy porušují. Nikdo již ale nekontroluje, zda nám normy
VíceISO 8402:1994 zavedena v ČSN ISO 8402 Management jakosti a zabezpečování jakosti - Slovník (01 0300)
ČESKÁ NORMA ICS 03.120.10 Únor 1997 Management jakosti - Směrnice pro plány jakosti ČSN ISO 10005 01 0332 Quality management - Guidelines for quality plans Management de la qualité - Lignes directrices
VíceN avrh a pouzit metrik informacn bezpecnosti, m eren v ISMS
Metriky a m eren informacn bezpecnosti N avrh a pouzit metrik informacn bezpecnosti, m eren v ISMS PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Organizace
VícePOPIS STANDARDU CEN TC278/WG4. Oblast: TTI. Zkrácený název: Zprávy přes CN 3. Norma číslo:
POPIS STANDARDU CEN TC278/WG4 Oblast: TTI Zkrácený název: Zprávy přes CN 3 Norma číslo: 14821-3 Norma název (en): Traffic and Traveller Information (TTI) TTI messages via cellular networks Part 3: Numbering
VíceČESKÁ TECHNICKÁ NORMA
ČESKÁ TECHNICKÁ NORMA ICS 01.040.35; 35.040 Říjen 2014 Informační technologie Bezpečnostní techniky Systémy řízení bezpečnosti informací Přehled a slovník ČSN ISO/IEC 27000 36 9790 Information technology
VíceČESKÁ TECHNICKÁ NORMA
ČESKÁ TECHNICKÁ NORMA ICS 35.040 Červenec 2009 Informační technologie Bezpečnostní techniky Řízení rizik bezpečnosti informací ČSN ISO/IEC 27005 36 9790 Information technology Security techniques Information
VíceMPO - Ministerstvo průmyslu a obchodu České Republiky -
Normy Ing. Tomáš Mlčák, Ph.D. Fakulta elektrotechniky a informatiky VŠB TUO Katedra elektrotechniky www.fei.vsb.cz fei.vsb.cz/kat420 PsPCAE 2010 MPO - Ministerstvo průmyslu a obchodu České Republiky -
VíceN avrh a pouzit metrik informacn bezpecnosti, m eren v ISMS
Metriky a m eren informacn bezpecnosti N avrh a pouzit metrik informacn bezpecnosti, m eren v ISMS PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Organizace
VíceAnatomie informacn bezpecnosti
Anatomie informacn bezpecnosti PV 017 Bezpecnost IT Jan ÐStaudek Û Å«Æ ±²³ µ ¹º»¼½¾ Ý http://www..muni.cz/usr/staudek/vyuka/ Verze : podzim 2016 Predm et ochrany { aktiva aktivum { predm et, myslenka,
VíceHasov an (hashing) na vn ejsch pam etech
Hasov an (hashing) na vn ejsch pam etech PV 062 Organizace soubor u Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2018 Obsah predn asky Jak algoritmicky dos ahnout
VícePOPIS STANDARDU. Norma název (cz):dopravní a cestovní informace (TTI) TTI zprávy pomocí celulárních sítí Část 6: Vnější služby (ISO/DTR :2000)
ENV 14821-6 - TTI TTI zprávy pomocí mobilních sítí Část 5: Vnitřní služby POPIS STANDARDU CEN TC278/WG4 Oblast: TTI Zkrácený název: Zprávy přes CN 6 Norma číslo: prenv ISO 14821-6 Norma název (en): Traffic
VíceKoncept informacn bezpecnosti II
B azov y fenom en pri zajist'ov an bezpecnosti { riziko Koncept informacn bezpecnosti II PV 017 Rzen informacn bezpecnosti Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze
VíceSpr ava hlavn pam eti
Osnova predn asky Spr ava hlavn pam eti PB 15 Operacn syst emy Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Obecn e principy spr avy hlavn pam eti str ankov an, paging hlavn pam eti, segmentov an,
VíceČESKÁ TECHNICKÁ NORMA
ČESKÁ TECHNICKÁ NORMA ICS 35.020; 35.040 2008 Systém managementu bezpečnosti informací - Směrnice pro management rizik bezpečnosti informací ČSN 36 9790 Červen idt BS 7799-3:2006 Information Security Management
VíceOperacn syst emy { prehled
Komponenty poctacov eho syst emu Operacn syst emy { prehled PB 152 Operacn syst emy Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2017 uzivatel e (lid e, stroje,
VíceRzen rizik. PV 017 Bezpecnost informacnch technologi. Jan Staudek Verze : podzim 2018
Rzen rizik PV 017 Bezpecnost informacnch technologi Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 Rizika Proc organizace stanovuje / modikuje / rozsiruje
VíceJak na jakost v podnikovém IT Evropský týden kvality Praha 10.11.2004
Jak na jakost v podnikovém IT Evropský týden kvality Praha 10.11.2004 Jiří Sedláček AIT s.r.o, Sinkulova 83, 140 00 Praha 4 tel. 261 225 072 www.ait.cz AIT, 2004 1 Program Současné postavení IT v podniku
VíceČESKÁ TECHNICKÁ NORMA
ČESKÁ TECHNICKÁ NORMA ICS 35.040 Únor 2015 Informační technologie Bezpečnostní techniky Signcryption ČSN ISO/IEC 29150 36 9704 Information technology Security techniques Signcryption Technologies de l,information
VíceSpr ava hlavn pam eti
Spr ava hlavn pam eti PB 152 Operacn syst emy Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2017 Osnova predn asky Obecn e principy spr avy hlavn pam eti str ankov
VíceBezs n urov a telefonie, DECT
Bezs n urov a telefonie, DECT PA 151 Soudob e ste Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2017 DECT, Digital European Cordless Telephone z obchodnho hlediska
VíceČSN ISO/IEC 27001 P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001
ČSN ISO/IEC 27001 Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky Představení normy ISO/IEC 27001 a norem souvisejících - Současný stav ISO/IEC 27001:2005
VíceSoubor, souborov e organizace
Soubor, souborov e organizace PV 062 Organizace soubor u Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2016 Osnova predn asky Pojem soubor, klc, operace se souborem,
VíceProcesy. PB 152 Operacn syst emy. Jan Staudek Verze : jaro 2017
Procesy PB 152 Operacn syst emy Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2017 Uvodem k proces um Poctacov a platforma se skl ad a z kolekce hardwarov ych prostredk
VíceAudit ICT. KATALOG služeb. Ing. Jiří Štěrba
KATALOG služeb Ing. Jiří Štěrba Obsah Úvod 3 Služby 4 Zaměření 5 Nabídka 7 Poptávka 8 Ke stažení 9 Reference 10 Informace 11 Kontakty 12 2 Úvod Dovolte, abychom Vám poskytli informace, které jsou věnovány
VíceKybernetická bezpečnost od A do Z
Kybernetická bezpečnost od A do Z.aneb na co v Čechách zapomněli Tomáš Hlavsa ATOS základní údaje ATOS celosvětově v 72 zemích světa 100 000 zaměstnanců tržby 11 mld. EUR zaměření na systémovou integraci,
VíceMožné cesty regulace. Právní předpisy
ÚČETNÍ STANDARDY V SOUVISLOSTECH IVANA VALOVÁ Masarykova univerzita, Ekonomicko-správní fakulta Abstrakt Regulace a harmonizace jsou v současné době často užívanými pojmy. Je možné nalézt celou řadu definicí
VícePl anu zachov an kontinuity podnik an,
Uvodem Pl anu zachov an kontinuity podnik an, Business Continuity Plan, BCP, dodatek predn asky k ISMS PV 017 Bezpecnost IT Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Kontinuita
VícePoctacov e syst emy { prehled
Poctacov e syst emy { prehled PB 152 Operacn syst emy Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2017 Prol predm etu 1. etapa (1/4 obsahu, predn asek), uvod
Víceidt IEC :1997
ČESKÁ TECHNICKÁ NORMA ICS 19.080; 17.220.20 Říjen 1998 Elektrická bezpečnost v nízkonapěťových rozvodných sítích se střídavým napětím do 1 kv a se stejnosměrným napětím do 1,5 kv Zařízení ke zkoušení,
VícePl anu zachov an kontinuity podnik an,
Pl anu zachov an kontinuity podnik an, Business Continuity Plan, BCP, dodatek predn asky k ISMS PV 017 Bezpecnost IT Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Verze : podzim
VíceČESKÁ TECHNICKÁ NORMA
ČESKÁ TECHNICKÁ NORMA ICS 31.160; 33.040.30 2002 Signalizace v instalacích nízkého napětí v kmitočtovém rozsahu 3 khz až 148,5 khz - Část 4-1: Oddělovací filtry nízkého napětí - Kmenová specifikace Březen
VíceRegulace a normy v IT IT Governance Sociotechnický útok. michal.sláma@opava.cz
Regulace a normy v IT IT Governance Sociotechnický útok michal.sláma@opava.cz Regulace a normy v IT Mezinárodní regulace Národní legislativa Mezinárodní normy Národní normy Oborové standardy Best practices
VíceČESKÁ TECHNICKÁ NORMA
ČESKÁ TECHNICKÁ NORMA ICS 35.040 Červenec 2013 Informační technologie Bezpečnostní techniky Řízení rizik bezpečnosti informací ČSN ISO/IEC 27005 36 9790 Information technology Security techniques Information
VíceManagement informační bezpečnosti
Management informační bezpečnosti Definice V Brně dne 3. října 2013 Definice Common Criterta ITIL COBIT CRAMM Přiměřená ábezpečnostč Management informační bezpečnosti 2 Common Criteria Common Criteria
VíceObnova transakc po v ypadku
Klasikace poruch Obnova transakc po v ypadku PA 150 Principy operacnch syst em u Jan ÐStaudek Û Å«Æ ±²³ µ ¹º»¼½¾ Ý http://www..muni.cz/usr/staudek/vyuka/ poruchy transakc logick e chyby v resen T nelze
Více4. Standardy bezpečnosti Řízení kvality (audit) IS BIVŠ 2016
4. Standardy bezpečnosti Řízení kvality (audit) IS BIVŠ 2016 Obsah Standardy dvě perspektivy 1. Perspektiva funkce/profese/útvaru (Assurance function perspective) (ITAF, IPPF, SSAE) 2. Perspektiva vlastního
VíceISO/IEC 27002:2013. PV 017 Bezpecnost IT. ISO/IEC 27002:2013, Oddly kategori bezpecnosti. ISO/IEC 27002:2013, Popis kategori bezpecnosti
ISO/IEC 27002:2013 Katalog opatren, ISO/IEC 27002 Dodatek predn asky Anatomie inform. bezpec., ilustracn v yklad PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾
VíceFire protection - Vocabulary - Part 8: Terms specific to fire-fighting, rescue services and handling hazardous materials
ČESKÁ NORMA ICS 13.220.20; 01.040.13 Červenec 1996 Požární ochrana - Slovník - Část 8: Termíny specifické pro hašení požáru, záchranné práce a pro zacházení s nebezpečnými látkami ČSN ISO 8421-8 38 9000
Více1. Standardizace na fyzické vrstvě OSI (vodiče, koncovky...)
1. Standardizace na fyzické vrstvě OSI (vodiče, koncovky...) přenosová média o slouží k distribuci signálu o možno v něm šířit elektromagnetické vlny o elektrické vodiče (el. signály) kroucená dvoulinka,
Více