Implementace BEZPEČNOSTNÍ POLITIKY v organizaci. RNDr. Luboš Číž, CISA, CISM DCIT, a.s.,

Podobné dokumenty
ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007

Systém řízení informační bezpečnosti (ISMS)

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

Implementace systému ISMS

Základy řízení bezpečnosti

Bezepečnost IS v organizaci

Zdravotnické laboratoře. MUDr. Marcela Šimečková

Dokumentace pro plánování a realizaci managementu jakosti dle požadavků

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

ČSN EN ISO OPRAVA 1

EMS - Systém environmentálního managementu. Jiří Vavřínek CENIA

srpen 2008 Ing. Jan Káda

Příklad I.vrstvy integrované dokumentace

Systémy řízení EMS/QMS/SMS

Aplikovaná informatika

Státní pokladna. Centrum sdílených služeb

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

Zákon o kybernetické bezpečnosti

Návrh. VYHLÁŠKA ze dne 2016 o požadavcích na systém řízení

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

Výukový materiál zpracovaný v rámci projektu Výuka moderně

AUDITOR KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.5/2007

Bezpečnostní politika a dokumentace

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

MANAŽER SM BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.10/2007

Vzdělávání pro bezpečnostní systém státu

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

BEZPEČNOSTI INFORMACÍ

Kybernetická bezpečnost

Úvod. Projektový záměr

Systémy řízení QMS, EMS, SMS, SLP

Řízení informační bezpečnosti a veřejná správa

Systémy řízení EMS/QMS/SMS

MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.8/2007

Obecné nařízení o ochraně osobních údajů

ČESKÁ TECHNICKÁ NORMA

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

Zákon o kybernetické bezpečnosti

WS PŘÍKLADY DOBRÉ PRAXE

Co je a co není implementace ISMS dle ISO a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o.

1. KURZ č. 1 - QMS - Školení a výklad normy ČSN EN ISO 9001: KURZ č. 2 - QMS - Školení interních auditorů QMS a metrologa

BEZPEČNOSTNÍ POLITIKA PRO BEZPEČNOST INFORMACÍ V ORGANIZACI

Bezpečnostní politika společnosti synlab czech s.r.o.

Zkušenosti z nasazení a provozu systémů SIEM

Organizační opatření, řízení přístupu k informacím

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

Řízení kvality a bezpečnosti potravin

Požadavky ISO 9001:2015 v cyklu PDCA Požadavky ISO 9001:2015 v cyklu P-D-C-A

Zápis z přezkoumání QMS za období 9/2009 8/2010

ISO 9001 a ISO aplikace na pracovištích sterilizace stručný přehled. Ing. Lenka Žďárská

AUDITOR EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.9/2007

Z K B V P R O S T Ř E D Í

Návod k požadavkům ISO 9001:2015 na dokumentované informace

Audity ISŘ. Je-li tento dokument vytištěn, stává se neřízeným. MERO ČR, a. s. Veltruská 748, Kralupy nad Vltavou SJ-GŘ Lenka Šloserová v. r.

Metodika certifikace zařízení OIS

GDPR příklad z praxe MICHAL KOPECKÝ TAJEMNÍK ÚMČ P2

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

BEZPEČNOSTNÍ ROLE. a jejich začlenění v organizaci

Systém řízení informační bezpečnosti Information security management systém

Gradua-CEGOS, s.r.o. AUDITOR BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI. CS systémy managementu organizací verze 2, 8.2, b) 1.

[ 1 ] Ing. František Chuchma, CSc. Seminář SVP/SDP, Státní ústav kontrolu léčiv

GDPR - příklad z praxe

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Řízení rizik. RNDr. Igor Čermák, CSc.

Zákon o finanční kontrole. Michal Plaček

Systém managementu jakosti ISO 9001

Praktické zkušenosti s certifikací na ISO/IEC 20000

Jak auditovat systémy managementu bez příruček a směrnic Ing. Milan Trčka

GDPR. Požadavky na dokumentaci. Luděk Nezmar

PRACOVNÍ SKUPINA 5. Zdeněk KOCOUREK, IDS Advisory Lucie VESELÁ, Ministerstvo financí. Kybernetická bezpečnost IT

Implementace ZKB. Ing. Miroslav Jaroš. Energetický regulační úřad.

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi října 2011 r

DOTAZNÍK příloha k žádosti

ČSN EN ISO (únor 2012)

MEZINÁRODNÍ NORMY A DIGITÁLNÍ KONTINUITA. Tomáš Bezouška Praha,

TÜV SÜD Czech s.r.o. Systém energetického managementu dle ČSN EN 16001

POŽADAVKY NORMY ISO 9001

Zákonné povinosti v oblasti energetické účinnosti. Ing. Simon Palupčík, MBA

KYBERBEZPEČNOST POHLEDEM MV ČR

Pelantová Věra Technická univerzita v Liberci. Předmět RJS. TU v Liberci

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Bezpečnostní opatření a audit shody se ZKB. Ing. Martin Konečný,

Zákon o kybernetické bezpečnosti a jeho implementace aktuálně

ROZHODNUTÍ GŘ č. 4/2017

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI A NAVAZUJÍCÍ PROVÁDĚCÍ PŘEDPISY

Návrh VYHLÁŠKA. ze dne 2014

5 ZÁKLADNÍ PRINCIPY SYSTÉMOVÉHO ŘÍZENÍ BOZP

Management bezpečnosti informací dle ISO 27001:2006. Zkušenosti se zaváděním ve společnosti SYSCOM SOFTWARE s.r.o.

Kybernetická bezpečnost resortu MV

Zkušenosti z naplňování ZKB: Audit shody se ZKB. Ing. Martin Konečný,

Výtisk č. : Platnost od: Schválil: Podpis:

Rozdíly mezi normou ISO 9001:2008 a ISO 9001:2015.

Transkript:

Implementace BEZPEČNOSTNÍ POLITIKY v organizaci RNDr. Luboš Číž, CISA, CISM ciz@dcit.cz DCIT, a.s., http://www.dcit.cz

AGENDA Bezpečnostní politika ví každý co to je? Typy bezpečnostních politik Postup implementace Zásady úspěšné implementace Nejlepší praktiky CO ZÍSKÁME?

Bezpečnostní politika ví každý co to je? Organizační pohled Personální pohled Technický pohled

Typy bezpečnostních politik Promiskuitní bezpečnostní politika (vše dovoleno bezpečnost se řeší mimo IT) Liberální bezpečnostní politika (každý může dělat vše, až na věci explicitně zakázané) Opatrná/racionální/ bezpečnostní politika (zakazuje dělat vše, co není explicitně povoleno) Paranoidní bezpečnostní politika (zakazující dělat vše i jen potenciálně nebezpečné)

Standardní postup při tvorbě a implementaci BP Předběžná studie Zadání, analýza rizik, bezpečnostní politika organizace, realizace BP, realizace a tvorba bezpečnostní dokumentace nižší úrovně, průběžná realizace osvěty udržování bezpečnostního povědomí zaměstnanců.

Přezkoumání vedením Zlepšování Hodnocení nebezpečí bezpečnostních rizik Právní a jiné požadavky Cíle a cílové hodnoty Projekty na realizaci cílů Monitorování a měření Hodnocení systému Neshody, nápravná a preventivní opatření Záznamy Audity IMPLEMENTACE Odpovědnosti a kompetence Výcvik, povědomí komunikace Dokumentace Řízení operací Připravenost na bezpečnostní situace/schopnost reakce

Implementace vypracované BP Vždy přináší problémy! PROČ? Omezení jsou vidět ihned Přínosy nejsou zřejmé Co pomáhá? Ustavit odpovědnosti a kompetence Výcvik, povědomí komunikace! komunikace!! komunikace? Dokumentace Řízení provozu (i z hlediska bezpečnosti ICT) Připravenost na bezpečnostní situace/schopnost reakce

Odpovědnosti a kompetence Aktivita CEO CFO BE CIO BPO HO CA HD HA PM C/A Definovat a udržovat plán zabezpečení IT. I C C A C C C C I I R Definovat, ustavit a provozovat proces řízení identit Sledovat potenciální a skutečné bezpečnostní incidenty. Pravidelně revidovat uživatelská přístupová práv a oprávnění Vytvořit a udržovat postupy pro udržení a zachování kryptografických klíčů. Zavést a udržovat technickou a procedurální ochranu informační toků v sítích I A C R R I C A I R C C R A I C R A R I C A C C R R C Provádět pravidelné hodnocení zranitelností. I A I C C C R Závisí na typu organizace Responsible, Accountable, Consulted, and/or Informed

Výcvik, povědomí Slyšet Vidět

Dokumentace Bezpečnostní politika Dokumentovaný rozsah ISMS Zpráva o analýze rizik Prohlášení o aplikování protiopatření Plán zvládání rizik Zpráva o řízení rizik Systémová bezpečnostní politika Smlouva o výměně informací Zpráva o analýze stavu Program zvyšování úrovně bezpečnosti

Řízení provozu zpracování a zacházení s informacemi; zálohování dat časové návaznosti zpracování, včetně vzájemných souvislostí s jinými systémy, čas začátku první a dokončení poslední úlohy; popis činnosti při výskytu chyb nebo jiných mimořádných stavů, které by mohly vzniknout při běhu úlohy, včetně omezení na používání systémových nástrojů spojení na kontaktní osoby v případě neočekávaných systémových nebo technických potíží; instrukce pro zacházení se speciálními výstupy, jako například se speciálním spotřebním materiálem, správa důvěrných výstupů, včetně instrukcí pro nakládání s chybnými výstupy z aplikací v případě jejich selhání postupy při restartu systému a obnovovací postupy v případě selhání systému zpracování záznamů z auditu a systémových záznamů

Připravenost na bezpečnostní incidenty zpětná vazba na hlášení incidentu formuláře podporující proces hlášení bezpečnostních událostí formuláře podporující proces hlášení bezpečnostních událostí nastavení správného chování v případě bezpečnostní události odkaz na zavedená formalizovaná pravidla pro disciplinární proces s těmi co způsobili narušení bezpečnosti.

Nejlepší praktiky Keep simply (jak je to jen možné) Technika je spolehlivější než člověk (co lze vynutit technicky, vynuťte technicky) Opakování je matka moudrosti Důslednost, důslednost, důslednost!

CO ZÍSKÁME? PŘIMĚŘENOU BEZPEČNOSTNÍ KULTURU CHOVÁNÍ A JEDNÁNÍ UŽIVATELŮ V SOULADU S BESPEČNOSTNÍMI CÍLY ORGANIZACE

Děkuji za pozornost Kontakt info@dcit.cz ciz@dcit.cz

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář