ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi října 2011 r

Transkript

1 ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI Ing. Jiřina Petříková Informační technologie pro praxi října 2011 r

2 Bezpečnost informací Zvyšuje se cena informací v oblasti soukromého podnikání i státní správy Cílem řízení informační bezpečnosti je chránit data v jakékoliv podobě Cena informací výše škod v případě jejich ztráty, poškození, odcizení

3 Faktory ohrožující informační aktiva Hrozby přírodního charakteru Blesky, povodně, silný vítr Lidský faktor jako zdroj rizik Hrozby úmyslné, neúmyslné Metody sociálního inženýrství Vnitřní hrozby

4 Cíle ISMS ISMS zajišťuje ochranu tří základních vlastností informačních aktiv. Jedná se o: dostupnost, důvěrnost a integritu. Cílem není snaha o dokonalou bezpečnost

5 Principy zavádění ISMS v organizacích Náklady na zavedení bezpečnostních opatření nesmí převyšovat cenu informačních aktiv Odpovědnosti za implementaci a kontrolu bezpečnostních opatření musí být odděleny Opatření nesmí být příliš restriktivní Řízení informační bezpečnosti musí probíhat na všech úrovních organizace veškerá rozhodnutí musí být podporována vrcholovým vedením

6 Postup zavádění ISMS Klasifikace informačních aktiv Analýza rizik Návrh opatření (Plan) Implementace bezpečnosti (Do) Monitorování (Check) Náprava nedostatků (Act)

7 Klasifikace informací Identifikace aktiv Stav hmotného a nehmotného majetku Ohodnocení aktiv Náklady vzniklé porušením důvěrnosti, dostupnosti a integrity 7

8 Analýza rizik Identifikace rizik, vztahujících se k daným aktivům: Co se stane, když nebudou informace chráněny? Jak může být porušena bezpečnost informací? S jakou pravděpodobností se to může stát? 8

9 Návrh opatření Slouží k nápravě zjištěných nedostatků Opatření by mělo obsahovat: Cíl Popis činností Termín realizace Nároky na zdroje Častou chybou bývá přílišné zaměření na oblast technického zabezpečení 9

10 Implementace bezpečnosti Zavedení bezpečnostních opatření do praxe SW a HW řešení Školení Bezpečnostní procesy 10

11 Monitorování a zlepšování ISMS Monitorování funkčnosti a efektivnosti zavedených opatření Problém ve stanovení metrik Např. počet virových incidentu, počet detekovaných útoků na systém, počet uživatelů, kteří při testovacích útocích prozradili důvěrné informace V případě nedostatků jsou vykonána nápravná opatření 11

12 Cyklus PDCA Zúčastněné strany Plánuj Návrh ISMS Zúčastněné strany Dělej Zavádění a provozování ISMS Jednej Udržování a zlepšování ISMS Bezpečnost informací, požadavky a očekávání Kontroluj Monitorování a přezkoumávání ISMS Řízená bezpečnost informací 12

13 Přínosy ze zavedení ISMS Splnění požadavků národní legislativy Zajištění přehledu o významných informačních aktivech Optimalizace nákladů na bezpečnostní opatření Minimalizace rizika ekonomických ztrát Zvýšení důvěryhodnosti firmy Vytvoření základu pro další zlepšování kvality služeb

14 Zdroje CHLUP, Marek. Hrozby? A co s nimi? Gity: Bezpečnost v kostce [online] [cit ]. Dostupný z WWW: < ČSN ISO/IEC Informační technologie Bezpečnostní techniky: Systémy managementu bezpečnosti informací Požadavky. Praha: Český normalizační institut, s. CHLUP, Marek. Zavedení systému řízení bezpečnosti - ISMS, model PDCA. Gity: Bezpečnost v kostce [online] [cit ]. Dostupný z WWW: < NÁDENÍČEK, Petr. Uživatel jako zdroj rizik a přístupy k jejich zvládání. SystemOnLine [online] [cit ]. Dostupný z WWW: < KOPÁČIK, I. a kol. Riadenie a audit v informačnej bezpečnosti. 1. vyd. Bratislava: TATE International Slovakia, s. ISBN ČSN ISO/IEC Informační technologie Bezpečnostní techniky: Soubor postupů pro management bezpečnosti informací. Praha: Český normalizační institut, s. PETŘÍKOVÁ, J. Audit bezpečnosti informací podle normy ISO/IEC 27001:2005 : diplomová práce. Ostrava: VŠB Technická univerzita Ostrava, Ekonomická fakulta, s.

15 Děkuji za pozornost r