Aplikovaná informatika

Podobné dokumenty
Bezepečnost IS v organizaci

Aplikovaná informatika

Bezpečnostní politika společnosti synlab czech s.r.o.

Implementace BEZPEČNOSTNÍ POLITIKY v organizaci. RNDr. Luboš Číž, CISA, CISM DCIT, a.s.,

ČESKÁ TECHNICKÁ NORMA

Výčet strategií a cílů, na jejichž plnění se projektový okruh podílí: Strategický rámec rozvoje veřejné správy České republiky pro období

Úvod - Podniková informační bezpečnost PS1-1

srpen 2008 Ing. Jan Káda

Příspěvek je věnován základním informacím o způsobu volby vhodné strategie řízení kontinuity činností v organizaci.

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Systém řízení informační bezpečnosti (ISMS)

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

V Brně dne a

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.

Bezpečnost na internetu. přednáška

Informační bezpečnost. Dana Pochmanová, Boris Šimák

Implementace systému ISMS

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

Věstník ČNB částka 18/2010 ze dne 21. prosince ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Outsourcing v podmínkách Statutárního města Ostravy

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

1. KURZ č. 1 - QMS - Školení a výklad normy ČSN EN ISO 9001: KURZ č. 2 - QMS - Školení interních auditorů QMS a metrologa

Pelantová Věra Technická univerzita v Liberci. Předmět RJS. TU v Liberci

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Politika bezpečnosti informací

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Klíčové aspekty životního cyklu essl

Bezpečnostní politika společnosti synlab czech s.r.o.

Obsah. Příloha č. 2: Standardy a doporučení Verze:

Expresní analýza PLM. jako efektivní start implementace PLM.

Software a související služby

GIS Libereckého kraje

Řízení informační bezpečnosti a veřejná správa

Aplikovaná informatika

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

Roční evaluační plán

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Řízení kybernetické a informační bezpečnosti

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

Základy řízení bezpečnosti

Informa ní bezpe nost I Management bezpe nosti informa ních systém - ISMS. michal.slama@opava.cz

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

Označení: Počet listů: 5 Verze: 1.0 SMĚRNICE ISMS. Název: Pravidla pro uživatele IT systémů. Vytvořil: Schválil: Účinnost od:

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Ochrana před následky kybernetických rizik

Bezpečnostní politika společnosti synlab czech s.r.o.

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi října 2011 r

GDPR - příklad z praxe

Management informační bezpečnosti

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok

Ne-bezpeční zemědělci

CYBER SECURITY. Ochrana zdrojů, dat a služeb.

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

V Brně dne 10. a

Proč ochrana dat a informací není běžnou součástí každodenního života? Martin HANZAL SODATSW spol. s r.o.

Management přepravy nebezpečných věcí na evropské a národní úrovni ve vztahu k systému krizového řízení ČR

Bezpečnostní politika a dokumentace

vlastnosti Výsledkem sledování je: a) Využití aplikací b) Používání internetu c) Vytížení počítačů d) Operační systém e) Sledování tisků

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

Zákon o kybernetické bezpečnosti

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

Vzdělávání pro bezpečnostní systém státu

GINIS na KrÚ Středočeského kraje

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Stav řešení Enterprise Architektury na Moravskoslezském kraji

Zákon o kybernetické bezpečnosti a jeho implementace aktuálně

Dokumentace pro plánování a realizaci managementu jakosti dle požadavků

Nástroje IT manažera

Akční plán AP3 : Optimalizace organizační struktury

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

ISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA

Od teorie k praxi víceúrovňové bezpečnosti

Odbor městské informatiky

Výtisk č. : Platnost od: Schválil: Podpis:

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

Citidea monitorovací a řídicí centrála pro smart řešení

Zkušenosti z nasazení a provozu systémů SIEM

1. Politika integrovaného systému řízení

Nástroje IT manažera

MONITORING NEKALÝCH OBCHODNÍCH PRAKTIK

Masarykova střední škola zemědělská a Vyšší odborná škola, Opava, příspěvková organizace

Příloha č. 3: Technické zadání zakázky Instalace a služby pro technologické centrum MÚ Pohořelice

Informační systém pro vedení ţivnostenského rejstříku IS RŢP

POVĚŘENEC OCHRANY OSOBNÍCH ÚDAJŮ, HROZBY A RIZIKA VE ŠKOLSTVÍ V PROBLEMATICE GDPR

Zásady managementu incidentů

1.05 Informační systémy a technologie

Obecné nařízení o ochraně osobních údajů

Zákon o kybernetické bezpečnosti

Bezpečnostní normy a standardy KS - 6

EMS - Systém environmentálního managementu. Jiří Vavřínek CENIA

JAK SE PŘIPRAVIT NA GDPR?

Monitorování a audit databází v reálném čase. Ing. Jan Musil IBM Česká republika

DTM DMVS Plzeňského kraje

1. Název projektu: Deinstitucionalizace služeb pro duševně nemocné

2. Podnik a jeho řízení

Transkript:

1 Aplikovaná informatika Případová studie bezpečnosti IS ZEMÁNEK, Z. - PLUSKAL, D. Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/15.0070)

2 Případová studie k bezpečnosti IS A i zadání 1. Bezpečností informační politika organizace 2. ISMS - Bezpečností informační politika organizace 3. Doporučení pro řízení informační bezpečnosti Úkoly do samostudia

3 Cíle přednášky 1. Charakterizovat bezpečnostní incidenty, jejich význam a řešení 2. Objasnit bezpečností informační politiku organizace 3. Uvést doporučení pro řízení informační bezpečnosti

4 Pojetí bezpečnosti informací Důvody pro bezpečnost informací: Minimalizace nebezpečí úniku a zneužití dat Úspora vynaložených nákladů souvisejících s odstraněním následků bezpečnostních incidentů Dodržení legislativních předpisů Snížení rizika nedostupnosti informací Silná image společnosti a důvěra zákazníků Možnost průběžného sledování a hodnocení dosažené úrovně zabezpečení

Klastrové pojetí bezpečnosti BCM - Řízení kontinuity činností ustanovuje strategický a provozní rámec přiměřený potřebám a cílům organizace. Klastrové pojetí informační bezpečnosti organizace je do jisté míry v rozporu uplatňovaným systémovým přístupem Efektivita řízení Nákladové a bezpečnostní synergie

6 Bezpečností informační politika organizace = je soubor zásad a pravidel, s jejichž pomocí organizace chrání svá aktiva, především počítačové sítě a informační systémy, které jsou nejzranitelnější, hned po lidském faktoru... Obecně lze bezpečnostní incident definovat jako narušení bezpečnosti IS/IT a pravidel ustanovených k jeho ochraně (bezpečnostní politika). Zjištěné bezpečnostní incidenty a nedostatky musí být nahlášeny zodpovědným osobám, zaarchivovány, zdokumentovány, prozkoumány a odstraněny s ohledem na příčiny, které je vyvolaly tak, aby mohlo být dosaženo nápravy.

Reakce na nové bezpečnostní potřeby

Jak reagovat? Otázky, které si v této souvislosti musíme klást: 1. Jak reagovat na změny charakteru bezpečnostních hrozeb? 2. Jak se změny promítnou do praxe bezpečnosti informací? 3. Jaký je poměr potenciálu starých osvědčených a nových nástrojů?

Nové priority ve výstavbě bezpečnostního systému organizace Bezpečnostní systém ochrany informací organizace Lidé Bezpečnost technologie Organizační a režimová opatření Management Výkonní zaměstnanci Ochrana prostředí Ochrana samotných IT Bezpečnostní vzdělávání Kontrolní mechanismy Bezpečnostní management HW SW

10 Bezpečností informační politika organizace Porušení bezpečnosti stroje způsobí uživatel buď úmyslně, nebo svou nevědomostí, nedbalostí či neznalostí. Důsledky narušení bezpečnosti stroje mohou být různé s různým stupněm závažnosti - využití napadeného počítače k dalším útokům jako přestupní stanice, získání důvěrných dat a jejich zneužití, úmyslné poškození získaných dat, zneužití identity.

11 Bezpečností informační politika organizace Z hlediska bezpečnosti informací se v typické organizaci mezi nejrizikovější faktory řadí personál organizace, obzvláště její management. Statistiky uvádějí, že padesát až osmdesát procent ztrát informací je způsobeno managementem vlastní organizace. Důvody jsou prosté: management musí mít zajištěn nejširší přístup ke zpracovávaným informacím.

12 Bezpečností informační politika organizace To platí zejména pro rizika porušení důvěrnosti informací, což je ale jen jedno z hledisek informační bezpečnosti. Personál může být také zranitelný kvůli hrozbám tzv. sociálního inženýrství, kdy útočník prostřednictvím promyšlené manipulace zneužívá přirozené důvěřivosti člověka. V některých typech organizací mohou být také vysoká rizika v oblasti hardwarových prostředků (zastaralé UPS, absence firewallu ).

Bezpečností informační politika organizace Bezpečnostní politika musí být kontinuálně aktualizována v souladu se změnami prostředí a zahrnuje: politiku přípustného užívání aktiv, objasnění způsobu uskutečňování a vynucování bezpečnostních opatření, specifikaci školení svých zaměstnanců v oblasti ochrany aktiv, proceduru vyhodnocení účinnosti politiky vedoucí k provedení její inovace.

14 Bezpečností informační politika organizace Rozsah a struktura řízení informační bezpečnosti jsou závislé na řadě objektivních skutečností: - velikosti organizace, - geografickém umístění, - rozsahu a významu provozovaných IC Systémů, - použité informační a komunikační technologii - apod.

15 Bezpečností informační politika organizace Toto je hlavní důvod, proč se aplikuje nejlepší praxe (normy, standardy a doporučení) pro zavedení informační bezpečnosti a nedá se použít univerzální šablona. Obecně je třeba při budování informační bezpečnosti vycházet z analýzy výchozího stavu a z analýzy rizik.

16 Bezpečností informační politika organizace Z důvodu zajištění dostatečné efektivity informační bezpečnosti se musí jednat o řízený proces vyvážený ve všech oblastech, který má podporu vedení a respektuje kulturu organizace. Každý uživatel informačního a komunikačního systému musí být seznámen s organizací a pravidly informační bezpečnosti (se směrnicemi), a aby pochopil účel bezpečnostních opatření, je nutná prevence - soustavná osvěta a vzdělávání v oblasti informační bezpečnosti.

Obecné typy bezpečnostní politiky promiskuitní bezpečnostní politika, není ani vlastně bezpečnostní politikou, ve svých pravidlech nikoho neomezuje a povoluje subjektům realizovat vše, i co by neměli dělat, liberální - ve svých pravidlech umožňuje realizovat vše, až na výjimky, které jsou explicitně vyjmenované, opatrná - ve svých pravidlech zakazuje vše s výjimkou toho, co je explicitně povoleno (viz OKIS UO), paranoidní - zakazuje dělat vše, co je potenciálně nebezpečné, tedy i to co by nemuselo být explicitně zakázáno.

18 ISMS - Bezpečností informační politika organizace V poslední době se stále častěji hovoří o systému managementu informační bezpečnosti (tzv. ISMS) podle norem ISO/IEC 27001 a 27002. Tak lze doložit správný postup při vypracování plánů, které navazují a analýzu rizik provedenou dle standardů, které tyto normy upravují. ISMS (anglicky: information security management system) je tedy část celkového systému managementu organizace, která se orientuje na řízení rizik v oblasti bezpečnosti informací.

19 ISMS - Bezpečností informační politika organizace Účelem ISMS je efektivní a účinná bezpečná správa duševního majetku, a to jak vlastního, tak i majetku, který organizaci svěřuje občan (tj. informací). Informace též představují aktiva - určitou hodnotu, se kterou stojí a padá důvěra občana, a proto je nutno ji chránit. Aby ochrana ohodnocených informací byla přiměřená, je třeba dále pojmenovat a ohodnotit hrozby, které na aktiva působí, zranitelnosti (slabiny našich aktiv) a stanovit výslednou míru rizik.

20 ISMS - Bezpečností informační politika organizace + Chování uživatele IS - operátora

21 Doporučení pro řízení informační bezpečnosti Bezpečnostní politika pokrývá tyto oblasti informační bezpečnosti: a) Organizaci a řízení bezpečnosti; b) Řízení aktiv; c) Personální bezpečnost; d) Fyzickou bezpečnost a bezpečnost prostředí; e) Řízení komunikací a provozu; f) Řízení přístupu; g) Pořízení, vývoj a údržba informačních systémů; h) Správa incidentů informační bezpečnosti; i) Řízení kontinuity činností organizace; j) Soulad s požadavky. k) Chování uživatele IS - operátora

Rozdělení a provázanost rolí 22

Rozdělení a provázanost rolí Podle předchozího schéma jsou realizační týmy s rolemi: Manažer Administrátor Projektant Operátor - z nich sestavíte realizační tým a budete řešit projekt s názvem: Případová studie bezpečnosti informačních systémů

Rozdělení a provázanost rolí Manažer ISMS jeho úloha Postup vytvoření a zavedení ISMS Stanovení rozsahu systému, zpracování analýzy rizik, formulace bezpečnostní politiky, formulace bezpečnostních standardů, monitorování a hodnocení ISMS, monitorování systému, přezkoumání řízení, řešení nápravných a preventivních opatření

Rozdělení a provázanost rolí Administrátor ISMS jeho úloha Popis Informačního systému a jeho struktura (řízení) technické prostředky, programové vybavení, uložení, oběh a zálohování dat, komunikace, provoz, provozní doby, help-desk, krizová řešení. Práva a povinnosti uživatelů informačních systémů uživatel (kategorie dle přístupových práv), externí uživatel, správce lokality, uživatelské účty a jejich typy, podmínky zřízení a zrušení, žádost o nový software, dokumentace instalace či reinstalace, vyřazení software, pravidelné kontroly. Práva a povinnosti správců informačních systémů oddělení informatiky (práva a povinnosti, úloha ve schvalovacím a přidělovacím procesu, způsob komunikace, dokumentování rozhodnutí, instalací, archivace dokladů, centrální evidence hardwaru a softwaru, opakování softwarových auditů, reakce na nepovolené chování uživatelů, instalační protokoly, komunikace s ekonomickým a účetním oddělením) správce aplikací, databází, hardware, financování. Zabezpečení a ochrana informačních systémů organizační opatření, správa uživatelských účtů, ochrana před viry a nežádoucími instalacemi, technická opatření.

Rozdělení a provázanost rolí Projektant ISMS jeho úloha Realizovat hlavní požadavky na ISMS Zpřístupnit aplikaci přes jednotné - intuitivně ovládané - uživatelské prostředí: Přístupné přes webový prohlížeč, bez zvláštních nároků na klientské stanice Podporující vizualizaci prostorových dat Vytvořit flexibilní procesně orientovaný systém s automatizovanou podporou postupů (workflow) Pracovní postupy jednoznačně budou určeny typem a způsobem nakládání s daty Možnost snadné modifikace a rozšiřování workflow Systém integrovat s dalšími spolupracujícími systémy poskytujícími služby v oblasti: Správy dokumentů Spolupracujících registrů Navrhnout a realizovat systém: Centralizovaný, vysoce dostupný, bezpečný Podporující minimálně 50 uživatelů z ústředí a územních a odloučených pracovišť lokalizovaných po celé ČR Zjemnění a finalizace návrhu pomocí prototypů Aktivní účast klíčových uživatelů při návrhu systému a jeho ověřování Rozsáhlé systémově integrační a zátěžové testování Příprava uživatelské dokumentace - Standardní uživatelské manuály, vzorové příklady, metodické postupy a FAQ Rozsáhlé školení Několik kol plné migrace a ověření její správnosti Příprava na produktivní provoz a jeho zahájení Detailní plán těsné zapojení expertních uživatelů a zástupců vedení do jeho tvorby a implementace v organizaci

Rozdělení a provázanost rolí Uživatel ISMS jeho úloha Realizovat hlavní požadavky na ISMS Informační systémy mají pokrýt oprávněné a zabezpečené informační požadavky uživatelů operátorů. Je nutné v nich obsáhnout z pohledu operátora (toho koho se to týká): Služby poskytované IS Povolená a zakázaná zařízení sítě IS Podmínky nastavení a ochrana uživatelských účtů Zásady používání hesel Odpovědnosti (povinnosti) uživatele a jeho práva Používání programového vybavení Evidence a správa programového vybavení Nutná opatření bezpečnosti (administrativní, fyzické, počítačové )

Faktory úspěchu a rizika projektu Závěr - Rizika projektu Vysoká komplexita řešení ISMS se dotýká většiny klíčových procesů a tyto procesy jsou relativně složité Vysoké nároky na analýzu a testování Úzká provázanost s dalšími projekty IS Úspěch ISMS je podmíněn úspěchem a provázaností dalších IS a naopak Závislost na náročných úpravách rozhraní na straně navazujících IS Většinou vysoké nároky na řízení změny při přechodu ze stávajícího zpracování na nový systém Široká skupina uživatelů s různým stupněm schopnosti se s novým systémem seznámit před uvedením do provozu a přizpůsobit mu své pracovní postupy

29 Úkoly do samostudia Charakterizovat bezpečnostní incidenty, jejich význam a řešení Objasnit bezpečností informační politiku organizace Uvést doporučení pro řízení informační bezpečnosti z pohledu role

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář