PRACOVNÍ SKUPINA 5. Zdeněk KOCOUREK, IDS Advisory Lucie VESELÁ, Ministerstvo financí. Kybernetická bezpečnost IT

Podobné dokumenty
OBSAH 1. ÚVOD STRUKTURA A ÚROVNĚ PROCESNÍHO MODELU KONVENCE PRO MODELOVÁNÍ PROCESŮ KONVENCE PRO MODELOVÁNÍ ORGANIZAČNÍCH STRUK

SKUPINA 6. Jitka KAZIMÍROVÁ. Lektor: Allianz pojišťovna. Téma: Zkušenosti s outsourcingem IT auditu

1. Integrační koncept

PŘÍLOHA C Požadavky na Dokumentaci

Kybernetická bezpečnost resortu MV

SKUPINA 1. Lektor: Mgr. Ing. Bc. Jan Tomíšek ROWAN LEGAL Téma: GDPR a audit v oblasti ochrany osobních údajů

Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu

Kybernetická bezpečnost MV

Otázky kurzu 4IT417 Řízení podnikové informatiky verze z 1/2/ Podniková informatika pojmy a komponenty

Spisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.)

Krajská koncepce e-gov

Sjednocení dohledových systémů a CMDB

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Státní pokladna. Centrum sdílených služeb

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

Legislativa kybernetické bezpečnosti Kritická informační infrastruktura a Významné informační systémy Ing. Dušan Navrátil Ředitel

Národní architektonický plán a ostatní metody řízení veřejné správy ČR

O2 a jeho komplexní řešení pro nařízení GDPR

Architektura informačních systémů. - dílčí architektury - strategické řízení taktické řízení. operativní řízení a provozu. Globální architektura

Z K B V P R O S T Ř E D Í

BEZPEČNOSTNÍ ROLE. a jejich začlenění v organizaci

PRACOVNÍ SKUPINA 2. Registr smluv

Nadpis presentace. Řízení IT v malých. útvarech aneb Light verze IT governance

Zhodnocení průběžného plnění Informační strategie hl. m. Prahy do roku 2010 (Cesta k e-praze) Duben 2009

Posuzování na základě rizika

Výčet strategií a cílů, na jejichž plnění se projektový okruh podílí: Strategický rámec rozvoje veřejné správy České republiky pro období

Workshop SAP GRC AC Představení SAP GRC Access Control Josef Piňos, CONSIT s.r.o.

Hodnocení rizik v resortu Ministerstva obrany

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Strategie, architektury a projekty jako nástroj řízení IT ve veřejné správě

Digitální technická mapa ČR

Výhody a rizika outsourcingu formou cloud computingu

Představení služeb DC SPCSS Státní pokladna Centrum sdílených služeb

WORKFLOW. Procesní přístup. Základ perspektivního úspěšného podnikového řízení. Funkčnířízení založené na dělbě práce

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

Bezpečnostní politika společnosti synlab czech s.r.o.

egrc řešení - nástroj pro efektivní řízení bezpečnosti dle kybernetického zákona Marian Němec AEC a.s.

Design systému. Komponentová versus procesní architektura

Informační systémy 2008/2009. Radim Farana. Obsah. Nástroje business modelování. Business modelling, základní nástroje a metody business modelování.

Metodický dohled - jak správně ošetřit požadavky legislativy ICT projektu Jan Heisler, Relsie, spol. s r.o.

Stav řešení Enterprise Architektury na Moravskoslezském kraji

Informační systémy veřejné správy (ISVS)

Bezpečnostní opatření a audit shody se ZKB. Ing. Martin Konečný,

Specializace Kraj Od Medián Do Od Medián Do. Hlavní město Praha Kč Kč Kč - - -

Úvod a teoretický vstup do procesního řízení. Procesy Jičín, Bloky B2 B4 / B5 B7

Enterprise Architecture na MPSV

Nasazení bezpečnostního monitoringu v praxi. Jan Svoboda AEC

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

GDPR. Požadavky na dokumentaci. Luděk Nezmar

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

Implementace BEZPEČNOSTNÍ POLITIKY v organizaci. RNDr. Luboš Číž, CISA, CISM DCIT, a.s.,

EKONOMICKÉ MODELOVÁNÍ

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.

Kybernetická bezpečnost

Vstupní analýza absorpční kapacity OPTP. pro programové období

SPECIFICKÁ PRAVIDLA PRO ŽADATELE A PŘÍJEMCE

Lidský faktor nejen v kybernetické bezpečnosti

MANAGEMENT Modelování procesů. Ing. Jaromír Pitaš, Ph.D.

Struktura Pre-auditní zprávy

Procesní management veřejné správy

MORAVSKÁ VYSOKÁ ŠKOLA OLOMOUC

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

4 ARCHITEKTURA PODNIKOVÝCH PROCESŮ S ARISEM

Kybernetická bezpečnost

MBI portál pro podporu řízení podnikové informatiky. mbi.vse.cz

Řízení dodávky IT služeb v enterprise společnosti

Aktivity NBÚ při zajišťování kybernetické bezpečnosti

Řízení projektů. Centrální podpora projektového řízení projektů realizovaných MVČR (CEPR) Praha,

Václav Borovička. Seminář AFCEA a Policejní akademie ČR Listopad 2014, Praha

Nová koncepce elektronického zdravotnictví pro období ročník konference ISSS

Zkušenosti z naplňování ZKB: Audit shody se ZKB. Ing. Martin Konečný,

Projekt Metodika přípravy veřejných strategií. Akční plán aktivit v oblasti strategické práce na rok 2013

Zkušenosti a výsledky určování KII a VIS

GDPR v sociálních službách

Workshop SAP GRC AC Představení SAP GRC Access Control Josef Piňos, CONSIT s.r.o.

Šachy interního auditu ve víru legislativních změn Workshop pro veřejnou správu. Novinky v IPPF

Obsah Strategie rozvoje infrastruktury pro prostorové informace v ČR do roku (GeoInfoStrategie) Jiří Čtyroký, vedoucí Zpracovatelského týmu

Národní bezpečnostní úřad

Metodika analýzy. Příloha č. 1

Modelování a optimalizace diagnostických procesů

VÝROBA. Helios Orange + něco navíc. Adresa: SAPERTA s.r.o. Presy Telefon: saperta@saperta.cz WWW: saperta.

Profesionální a bezpečný úřad Kraje Vysočina

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Cíl kontrolní činnosti

Pracovní celky 3.2, 3.3 a 3.4 Sémantická harmonizace - Srovnání a přiřazení datových modelů

TB0500MV002 Vypracování analytického návrhu modelu financování datového fondu klíčových prostorových informací

Outsourcing & Cloud. v českých firmách

Procesní audit VIKMA

Aktivity TPEB ČR v oblasti ZKB. Jan.Kepic@tpeb.cz - Praha ÚNMZ 4. února 2015

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

ARIS Platform softwarová podpora řízení procesů Procesní ARIS laboratoř základ moderní výuky.

Využití inteligentních formulářů na MMK

Expresní analýza PLM. jako efektivní start implementace PLM.

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

OS_3_Řízení dokumentů

Řízení rizik s nástroji SAP BusinessObjects GRC AC Josef Piňos, CONSIT s.r.o.

VIZE INFORMATIKY V PRAZE

Implementace řízení strategických a kybernetických rizik v Pražská teplárenské s podporou SW nástroje Risk management tool

Transkript:

PRACOVNÍ SKUPINA 5 Zdeněk KOCOUREK, IDS Advisory Lucie VESELÁ, Ministerstvo financí Kybernetická bezpečnost IT

Metoda GROW 1. G Goal setting stanovení cíle pracovní skupiny, potvrzení tohoto cíle s účastníky 2. R Reality prověření reality, skutečného stavu věcí současná situace v českých společnostech / veřejném sektoru daná zkušenostmi a obecným povědomím jednotlivých účastníků, dostupné nástroje, překážky, rozdíl mezi cílem a realitou 3. O Options všechny možnosti, alternativní strategie nebo postup činností k dosažení cíle, možné způsoby, jak vyřešit překážky, které na cestě k tomuto cíli stojí 4. W What Will You Do definice toho, co budeme dělat, co jsme schopni změnit, plán konkrétních kroků

Nejčastější příčiny hrozeb v bezpečnosti IT Vnější útoky Vnitřní útoky (únik/zneužití) Chybná přístupová oprávnění Nedostačená konfigurace IS/ICT

Jak definovat oprávnění? Interview s uživateli IS Workshop s vedením IT v organizaci Zapojení poradenské společnost/experta na IT Procesně orientovaný přístup implementace či řízení IS (EA) Dotazování přímého nadřízeného zaměstnance Použití metody Pohled z okna

Aktuální situace mnozí správci kritické informační infrastruktury a významných IS ve veřejné správě využívají outsourcing ICT služeb a tudíž nemají nad těmito systémy kontrolu správci nemají technickou nebo právní možnost dostát základním požadavkům zákona o kybernetické bezpečnosti Jak z toho ven? => mít detailní popis procesů a IT v souvislostech Zdroj: Analýza NBÚ "BÍLÁ MÍSTA KYBERNETICKÉ BEZPEČNOSTI ČESKÉ REPUBLIKY "

Máte procesní model Využijte existující procesní model pro IA Procesní model mají např.: Celní správa Ministerstvo obrany Ministerstvo dopravy Řada krajských úřadů a měst

Procesně orientovaný přístup implementace / řízení IS/ICT (EA) Znalost procesů je základem pro odvození: Nezbytné IT podpory Konkretizaci IS požadavků Relevantních Datových objektů Odpovídajících Přístupových oprávnění Odpovědnosti za Data Rizik v kontextu příčin a následků (toku procesu) a identifikaci Legislativních a jiných požadavků a posouzení shody organizace s těmito požadavky

Procesně orientovaný přístup implementace / řízení IS/ICT (EA)

Procesně orientovaný přístup implementace / řízení IS/ICT (EA) Pro co je vhodné? Identifikace a vyhodnocení idejí a vizí Porozumění IT potřebám s ohledem na výsledek procesů / úsilí lidí (studie proveditelnosti) Tvorbu zadání pro vývoj IS Vývoj a implementaci IS Kontinuální řízení rozvoje IT Posuzování shody s platnou legislativou / normami

Co je to Podniková architektura (EA)? Enterprise Architecture Procesní architektura Jak jsou postaveny vzhledem k plnění cílů organizace IT Architektura Informační architektura Technologická architektura Jak IS podporují naplnění cílů procesů Jsou použity odpovídající technologie Výchozí stav As-Is Cílový stav To-Be

Podniková architektura - souvislosti Vedení společnosti Prodej Výroba Pracovník prodeje Plánovač výroby Organizace Order data Order n Order data Objednávka přijata Jak? Order Item Address Schválená objednávka Schvalování objednávky Objednávka schválena Pracovník prodeje Data Data Proces Aplikace Prodejní služby Objednávka Schválená objednávka Zakázka Produkty a Služby

Příklad podrobného popisu procesu - Příprava čaje Příklad podrobného popisu procesu - příprava čaje Aktivita Lístek od číšníka má stav Požadavek na čaj Událost, stav Vykonavatel aktivity Používa ný zdroj Data Hospodyně Konvice Oheň Voda provádí je používán je používán je spotřebováván Hospodyně Název a typ vybraného čaje Ohřívání vody Voda je ohřátá provádí je vstupem pro Příprava čaje Čaj je připraven Výběr typu čaje Typ čaje vybrán je spotřebováván je používán je vstupem pro má výstup Čajové lístky Hodinky provádí je vstupem pro Encyklopedie čajů Komorník Encyklopedie čajů Název a typ vybraného čaje Diagram čteme shora dolů Číšník provádí Podávání čaje Spuštění navazujícího procesu Čaj je podán Pití čaje

Popis procesů (EPC) Zobrazení toku řízení, t.j. chronologická a logická posloupnost jednotlivých aktivit v procesu Základní konstrukční prvky pro modelování toku řízení : Event Typ objektu: Událost Function Typ objektu: Funkce AND = současně XOR = pouze jedna možnost Typ objektu: Pravidlo (logický propojovací operátor) OR = nebo

Popis procesů Proces/aktivita: odborná úloha vykonávaná na (informačním) objektu podporující realizaci jednoho nebo několika podnikových cílů Jmenné konvence pro funkce v EPC : Operace (obvykle první pád jednotného čísla názvu činnosti resp. infinitiv slovesa) + Informační objekt (obvykle druhý resp. čtvrtý pád jednotného čísla) Operace Informační objekt

Popis procesů Objekt :Událost Událost Objekt :Role Role Objekt : Typ aplikace Informace charakterizující podnět k provedení činnosti nebo výsledek činnosti v rámci toku procesu. Po logickém operátoru popisuje stav, který ve větvení procesu nastává nebo může nastat. Definovat osobu, která danou činnost provádí. Seskupit pracovníky různých organizačních jednotek, kteří vykonávají stejné činnosti. Zaznamenat používanou aplikaci/komponentu informačního systému.

Popis procesů Objekt: Dokument Dokument Objekt: Datový cluster Datový cluster Dokument v papírové podobě vytvářený v rámci popisovaného procesu, dokument typu formulář nebo nosič dat. Zaznamenat elektronickou databázi, ucelenou strukturu dat nebo uskupení databází pro čtení/zápis dat. Uživatelský přístup do Datového clusteru je prostřednictvím určité aplikace.

Definování uživatelských oprávnění Přístupová oprávnění Read, Write, Delete

Organizační struktura

Role v procesu výkon činností v procesech na bázi rolí jednotlivé činnosti procesu jsou přiřazeny k vykonání (provedení, rozhodnutí, schválení, kontrole atd.) jednotlivým rolím tyto role mohou zastávat různí lidé podle aktuálního stavu jejich znalostí, schopností a přidělených oprávnění činnosti nejsou tedy přiřazeny primárně funkčním místům nebo organizačním jednotkám změnu kompetencí je možné uskutečnit bez změn procesů role definice procesů role

role Role v procesu je definována schopností operativního porozumění ucelené části procesu a schopností jeho opakovaného spolehlivého vykonávání odpovídá ucelené části znalostí (stejná specializace, hloubka a osvojení) každá role má svůj znalostní profil složitost musí být přiměřeně zvládnutelná jedinou osobou jedna osoba může zastávat více rolí role definice procesů role

Rekapitulace Věcné hledisko Vyžadujte jasné definování uživatelských oprávnění do úrovně dat, rolí a IT technologií v rámci vašich agend (procesů) Organizační hledisko Vyžadujte Procesní přístup k řízení uživatelských oprávnění Metodické hledisko Sami používejte Procesní přístup k provádění IA

PŘÍPADOVÁ STUDIE

Prověření vybrané oblasti na základě procesního modelu Zvolte si proces nebo jeho část a navrhněte oblasti resp. činnosti k prověření interním auditem: 1) Prověření systému řízení kybernetických rizik ( 4, příloha č. 2 vyhlášky č. 316/2014 k ZKB) Použij procesní Role namísto Pozic/útvarů

Prověření vybrané oblasti na základě procesního modelu 2) Prověření systému zvládání bezpečnostních incidentů v organizace - uživatelé, kteří hlásí bezpečnostní incidenty, slabiny či podezřelých situací x bezpečnostní odborníci, kteří řeší bezpečnostní incidenty a přijímají opatření k nápravě. (vyhláška č. 316/2014 k ZKB) Použij procesní Role namísto Pozic/útvarů

Definuj Aplikační podporu a data Aktivitám v toku proces definuj Data Navrhni aplikační podporu např. Řízení projektů

Definuj uživatelská oprávnění Pro jednotlivé aktivity navrhni oprávnění (R,W,D) Pozor na konflikt oprávnění (SOD)!

Souhrnný pohled oprávnění Zpracuj souhrnný přehled rolí a jejich oprávnění k Aplikacím Navrhni Organizační strukturu Role přiřaď pozicím v organizační struktuře

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář