Projekt implementace ISMS

Podobné dokumenty
Projekt implementace ISMS

Projekt implementace ISMS Dodatek 1, PDCA

Rzen informacn bezpecnosti v organizaci

Rzen informacn bezpecnosti v organizaci

Prklad dokumentov e z akladny ISMS

Projekt implementace ISMS, Dodatek 2, Pozn amky k projektov emu rzen

projektu implementace ISMS

Audit (prezkoum av an) bezpecnostnch opatren, politik, syst em u,...

Audit (prezkoum av an) bezpecnostnch opatren, politik, syst em u,...

Politika informacn bezpecnosti

Prklady opatren, zranitelnost a hrozeb

Distribuovan e algoritmy

Rzen reakc na bezpecnostn incidenty

Aplikacn bezpecnost. Informacn bezpecnost z pohledu aplikacnch syst em u. PV 017 Bezpecnost informacnch technologi

ISMS { Syst em rzen informacn bezpecnosti

Aplikacn bezpecnost. PV 017 Bezpecnost informacnch technologi. Jan Staudek Verze : podzim 2017

GPDR, General Data Protection Regulation

N avrh a pouzit metrik informacn bezpecnosti, m eren v ISMS

ISMS { Syst em rzen informacn bezpecnosti

Politika informacn bezpecnosti, Dodatek

Rzen rizik. PV 017 Bezpecnost informacnch technologi. Jan Staudek Verze : podzim 2018

Uvod, celkov y prehled problematiky

Projekt implementace ISMS Dodatek 4, Prklad politiky ISMS

Vl akna. PB 152 Operacn syst emy. Jan ÐStaudek Verze : jaro 2015

N avrh a pouzit metrik informacn bezpecnosti, m eren v ISMS

Sekven cn soubory. PV 062 Organizace soubor u. Jan Staudek Verze : jaro 2018

Krit eria hodnocen informacn bezpecnosti, dodatek

Obnova transakc po v ypadku

Politika informacn bezpecnosti, Dodatek

Uvod, celkov y prehled problematiky

Pl anu zachov an kontinuity podnik an,

Pl anu zachov an kontinuity podnik an,

Vl akna. Proces a vl akna. PB 152 Operacn syst emy. Resen editoru pomoc vl aken. Koncept sekvencnho procesu m uze b yt neefektivn

Krit eria hodnocen informacn bezpecnosti

Soubor, souborov e organizace

Operacn syst emy { prehled

Spr ava hlavn pam eti

Obnova transakc po v ypadku

Anatomie informacn bezpecnosti

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

B azov y fenom en pri zajist'ov an bezpecnosti { riziko

Spr ava hlavn pam eti

Podsyst em vstupu a v ystupu

Standardy a definice pojmů bezpečnosti informací

Procesy. PB 152 Operacn syst emy. Jan Staudek Verze : jaro 2017

Operacn syst emy { prehled

Co je a co není implementace ISMS dle ISO a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o.

Koncept informacn bezpecnosti

Hasov an (hashing) na vn ejsch pam etech

Procesy. Uvodem k proces um. PB 152 Operacn syst emy. Program a proces. Uvodem k proces um

ISO/IEC 27002:2013. PV 017 Bezpecnost IT. ISO/IEC 27002:2013, Oddly kategori bezpecnosti. ISO/IEC 27002:2013, Popis kategori bezpecnosti

Koncept informacn bezpecnosti II

Management informační bezpečnosti

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Poctacov e syst emy { prehled

ČESKÁ TECHNICKÁ NORMA

Standardy (normy) a legislativa informacn bezpecnosti

Bezs n urov a telefonie, DECT

PV 017 Bezpecnost IT

Standardy (normy) a legislativa. informacn bezpecnosti. Standardy (normy) a legislativa. PV 017 Bezpecnost IT

Standardy (normy) a legislativa informacn bezpecnosti

Koncept informacn bezpecnosti

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok

Standardy (normy) a legislativa. informacn bezpecnosti. Standardy (normy) a legislativa. PV 017 Bezpecnost IT

Pl anov an. PB 152 Operacn syst emy. Jan Staudek Verze : jaro 2017

Systém řízení informační bezpečnosti (ISMS)

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

Prepn an, switching. Propojovac probl em. PV 169 Z aklady prenosu dat. Prepnac, prepnan a st' Metody prepn an

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

Soubor, souborov e organizace

Standardy (normy) a legislativa. informacn bezpecnosti. Standardy (normy) a legislativa. PV 017 Bezpecnost IT

Systém řízení bezpečnosti informací v praxi

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Virtu aln pam et' PB 152 Operacn syst emy. Jan Staudek Verze : jaro 2017

Volba v udce, Leader Election

Volba v udce, Leader Election

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Co je to COBIT? metodika

Řízení informační bezpečnosti a veřejná správa

Typologie, funkcn skladba a architektury OS, prklady z Windows, Unix, Linux, MAC OSx

ČESKÁ TECHNICKÁ NORMA

Hierarchick e indexy, B / B+ stromy, tries

Regulace a normy v IT IT Governance Sociotechnický útok. michal.sláma@opava.cz

Souborov e syst emy { koncepty a rozhran

Hierarchick e indexy, B / B+ stromy, tries

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

Bezpečnostní politika společnosti synlab czech s.r.o.

Státní pokladna. Centrum sdílených služeb

Bezpečnostní politika společnosti synlab czech s.r.o.

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

Soubor, souborov e organizace

Informační bezpečnost. Dana Pochmanová, Boris Šimák

Kybernetická bezpečnost Zákonná povinnost nebo existenční nutnost?

Typologie, funkcn skladby a architektury OS

ČESKÁ TECHNICKÁ NORMA

Distribuovan e prostred, cas a stav v distribuovan em prostred

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Střední průmyslová škola strojnická Olomouc, tř. 17. listopadu 49. Výukový materiál zpracovaný v rámci projektu Výuka moderně

Transkript:

ISMS { Information Security Management System Projekt implementace ISMS PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 018 Syst em proces u, metodicky vypracovan y a udrzovan y a certikovateln y) zajist'ujcch r adn e prosazov an informacn bezpecnosti v organizaci, typicky a zejm ena v oblastech Rzen (zvl ad an) rizik souvisejcch s informacn bezpecnost Organizacn zajisten informacn bezpecnosti Zaveden a prosazov an bezpecnostn politiky a pl anu zvl ad an rizik zajist'ujcch d uvernost, integritu a dostupnost informacnch aktiv Spr ava informacnch aktiv, evidence, klasikace,... Bezpecnost lidsk ych zdroj u Fyzick a a are alov a bezpecnost Rzen komunikac Provoz informacnch syst em u Rzen prstupu k informacnm aktiv um Porizov an, v yvoj a udrzba informacnch syst em u Reakce na utoky na informacn bezpecnost Zachov an kontinuity cinnosti organizace po utoku na InSec Dosahov an souladu s pr avnmi a smluvnmi z avazky Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 1 Projekt zaveden, implementace ISMS F aze zak azky projekt implementace ISMS ISO/IEC 7003 : 010 Information technology Security techniques Information security management system implementation guidance N avod k implementaci ISMS { jak zah ajit, napl anovat a denovat projekt zav adejc ISMS formou zak azky resen e organizac clen e { na zaveden ISMS a { na integraci ISMS mezi ostatn podnikatelsk e (byznys) procesy organizace ZAH AJENI PROJEKTU IMPLEMENTACE ISMS 1. Zsk an souhlasu veden organizace s projektem implementace ISMS. Denov an oblasti p usobnosti ISMS a politiky ISMS P RIPRAVA IMPLEMENTACE ISMS 3. Anal yza pozadavk u organizace na informacn bezpecnost 4. Ohodnocen rizik a vypracov an pl anu zvl adnut rizik N AVRH ISMS 5. N avrh a implementace ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 3

Nejprve k metod am rzen realizacnho projektu obecn e N avrh, implementace a zaveden ISMS je projekt Co je to projekt { obecn a charakteristika jedinecn a soustava cinnost smerujcch k predem stanoven emu a jasne denovan emu cli, kter a m a urcen y zac atek a konec, kter a vyzaduje spolupr aci r uzn ych profes, v aze jejich kapacity a jejich usil a vyuzv a (prpadne spotrebov av a) pro vytvoren clov ych v ystup u { informace, { materi al, { penze, { schopnosti a dovednosti z ucastnen ych lid Metodologie n avrhu a implementace ISMS Projekt vzdy zam estn av a skupinu lid a ovliv nuje jin e skupiny lid. Projekt je vzdy spojen s rizikem ne usp echu, ponevadz je jedinecn y a nikdy zcela presne nevme, co n as v pr ubehu jeho realizace cek a nebo zaskoc. Abychom vsak mohli projekt rdit k usp echu, musme mt nejak y sc en ar ci osnovu. Tmto jsou pl any projektu. Prklady pl anovan ych ukol u urcen zp usobu rzen projektu (waterfall, agiln prstup,... ) urcen zp usobu zajisten integrace r uzn ych rdicch syst em u, identikace klcov ych odpovednost, identikace pozadovan ych zdroj u v pr ubehu zivotnho cyklu projektu, rozhodnut o vyuzv an konzultant u,...,... Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 4 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 5 Metodologie n avrhu a implementace ISMS Metody rzen realizacnho projektu Usp ech projektu tedy znamen a spln en cle ve trech dimenzch: vecne (CO, JAK, a V JAK E KVALIT E se m a udelat), casove (KDY m a b yt co provedeno { etapy/f aze, kroky, ukony) a n akladove (ZA KOLIK se to m a udelat, nejprve ve spotrebovan e pr aci a pak v penezch). Tento trojimperativ projektu v podstat e odpovd a tomu, jak je v obchodnm z akonku vymezena smlouva o dlo. Každá smlouva o dílo musí obsahovat specifikaci plnění (CO A JAK, V JAKÉ KVALITĚ), termíny (KDY) a cenu (ZA KOLIK), aby to smlouva o dílo byla Standard ISO/IEC 7001 p uvodn e direktivn e predpisoval pouzt pro projekt implementace ISMS procesn prstup podle metodologie PDCA PDCA, Plan Do-Check-Act, pl anuj, udelej, zkontroluj, jednej tak e Deming uv cyklus nebo PDCA cyklus metoda postupn eho zlepsov an naprklad kvality v yrobk u, sluzeb, proces u, aplikac, dat, probhajc formou opakovan eho prov aden ctyr zmnen ych cinnost. Deatily viz naprhttp://mostechinformationsite.blogspot.cz/014/10/pdcacycle-of- quality-management-basic.html Dals aplikovateln e metody rzen COBIT, http://www.isaca.org/cobit/pages/default.aspx ITIL, https://managementmania.com/cs/informationtechnology-infrastructure-library Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 6 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 7

Model PDCA, Plan Do-Check-Act PDCA cyklus v yvoje ISMS Model PDCA je siroce uplat novan y v podnik an, v rzen kvality,... ISMS mus b yt mj. integrovan y s rdicmi syst emy napr. pro { rzen kvality (dle standardu ISO 9001) a { pro udrzov an zivotnho prostred ( ISO 14001) Tyto rdic syst emy rovn ez pouzvaj model PDCA a tudz je pouzit modelu PDCA pro projekt ISMS uprednost nov ano Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 8 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 9 PDCA { f aze PDCA { f aze PLAN (zrzen ISMS) Denice oblasti ISMS Denice politiky informacn bezpecnosti Denice systematick eho prstupu k ohodnocov an rizik Vypracov an procedur rescch ohodnocen rizik a proveden ohodnocen rizik cl { v kontextu politiky a oblasti ISMS identikovat d ulezit a informacn aktiva a rizika, kter ym jsou tato aktiva vystavena Identikace a vyhodnocen moznost jak zvl adat rizika V yber cl u ochran a implementovateln ych opatren pro kazdou moznost Vypracov an Prohl asen o aplikovatelnosti vybran ych opatren (pokryt e bezpecnostn cle a vlastnosti vybran ych opatren) DO (implementace ISMS) Formulace pl anu zvl ad an rizik, vytvoren jeho dokumentace { syst emov a, detailn, bezpecnostn politika { denice proces u a procedur plncch bezpecnostn opatren Implementace vsech opatren urcen ych v pl anu zvl ad an rizik Implementace procedur (opatren) umoz nujcch promptn detekci bezpecnostnch incident u a reakce na ne Zaskolen relevantnch zamestnanc u, denice programu systematick e v ychovy k bezpecnostnmu uvedomen Zajisten zdroj u a operac pro v ykon cinnost ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 10 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 11

PDCA { f aze Uk azka aplikace PDCA cyklu na procesy rzen rizik CHECK (sledov an a posuzov an v ykon u provozovan eho ISMS) monitorov an, ohodnocov an, testov an, audit cinnost rzen ych ISMS vytv aren d ukaz u, shromazd'ov an v ysledk u monitorov an,... posuzov an a tam kde to jde i meren, v ykon u proces u proti bezpecnostn politice, cl um a praktick ym zkusenostem generov an zpr av pro posouzen managementem meren ucinnosti syst emu rzen a opatren, kter a jej implementuj ACT ( udrzba a vylepsen ISMS) Proveden oprav a zmen na z aklade v ysledk u posouzen managementem Identikace, dokumentace a implementace vylepsen ISMS Detailnejs pozn amky k PDCA cyklu viz Dodatek l t eto predn asky Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 1 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 13 Demonstrace cle a z avazku managementem ISO 7001 pozaduje, aby management organizace demonstroval, ze implementaci ISMS rad mezi sv e cle, a m a v uli ISMS implementovat, coz dokazuj kroky: Stanoven politiky ISMS a cl u informacn bezpecnosti, kter e mus b yt kompatibiln s orientac podnikatelsk e strategie organizace Zajisten integrace ISMS mezi ostatn procesy organizace Zajisten dostupnosti zdroj u vyzadovan ych pro ISMS Probehlo sezn amen organizace s d ulezitost rzen InSec Zajist'ov an, aby ISMS dos ahl zam yslen ych v ysledk u stanoven ych politikou a cli informacn bezpecnosti Veden a podpora perzon alu k prispv an k ucinnosti ISMS Prosazov an kontinu alnho vylepsov an ISMS Podporov an manazersk ych rol Projekcn t ym, rdic v ybor Pro n avrh a implementaci by m el nejvyss management ustanovit projekcn t ym a/nebo rdic v ybor T ym by mel v est clen strednho ci nizsho managementu s dels prax Nen vhodn y IT manazer, ti maj z pohledu podnik an nizs kredibilitu T ym by mel sest avat jak z klcov ych byznys manazer u, tak i z technick ych expert u na InSec a na IT Experty na InSec a na IT lze zajistit i smluvne, pak je ale nutn e uplatnit odpovdajc opatren pro bezpecnou participaci tretch stran (NDA,... ) Vce dopl nujcch pozn amek k pr aci t ymu viz Dodatek t eto predn asky Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 14 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 15

Zahajen projektu, d lc faze Cestovn mapa PDCA cyklu ISMS Uv edom en pot reby ISMS X Vysv etlovan p redev s m vy ss m mana zerum pro c je ISMS pot rebny a co se j m rozum, co ovlivn X Nasazen ISMS je podnikatelsky projekt nikoli technicky projekt X Pokud nebude m t podporu veden spole cnosti, vy ss ho managementu a relevantn ch mana zeru, padne Z skan odbornych zku senost X dukladn a vychova a trening dovednost a znalost c lenu tymu Vymezen prostoru X ur cen hranic pusobnosti ISMS Formulovan politiky X vyvoj a odsouhlasen politiky informa cn bezpe cnosti organizace X tato politika vymezuje orientaci ISMS v kontextu podnikatelskych c lu Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 16 PV017 { Projekt implementace ISMS 17 Faze projektu implementace ISMS Zdroje informac pro tvorbu politiky informacn bezpecnosti Jan Staudek, FI MU Brno Zdroje navod u k postupu budovan politiky informa cn bezpe cnosti a ISMS v prost red IS0 7000 http://www.itil.cz/, ITIL { IT Governance http://www.iso7001security.com/html/iso7000.html Zdroj navod u k postupu budovan politiky informa cn bezpe cnosti X http://www.yourwindow.to/ X Your Window To Information Security Policies and Disaster Recovery Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 18 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 19

Dlc kroky f az projektu implementace ISMS 1. Zsk an souhlasu veden organizace pro zah ajen implem. ISMS 1.1 Objasn en priorit organizace pro projekt ISMS 1. Predb ezn a denice oblasti p usobnosti ISMS 1.3 Vytvoren zak azky a pl anu projektu implementace ISMS pro odsouhlasen vedenm organizace. Denov an oblasti p usobnosti ISMS a politiky ISMS.1 Denov an oblasti a hranic inf. bezpecnosti v organizaci. Denov an oblasti a hranic informacnch a komunikacnch technologi (ICT).3 Denov an fyzick e oblasti a hranic.4 Integrace vsech oblast a hranic do oblasti a hranic ISMS.5 V yvoj politiky ISMS a zsk an souhlasu od veden Dlc kroky f az projektu implementace ISMS 3. Anal yza pozadavk u organizace na informacn bezpecnost 3.1 Denov an pozadavk u organizace na inf. bezpecnost 3. Identikace aktiv v oblasti p usobnosti ISMS 3.3 Ohodnocen informacn bezpecnosti 4. Ohodnocen rizik a vypracov an pl anu zvl adnut rizik 4.1 Ohodnocen rizik 4. V yber cl u opatren a opatren { Prohl asen o aplikovatelnosti 4.3 Zsk an souhlasu veden organizace s implementac a provozov anm ISMS, vypracov an pl anu zvl adnut rizik Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 0 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 1 5. N avrh ISMS Dlc kroky f az projektu implementace ISMS 5.1 N avrh informacn bezpecnosti v organizaci 5. N avrh fyzick e a ICT informacn bezpecnosti 5.3 N avrh informacn bezpecnosti specick e pro ISMS 5.4 Vytvoren n alnho pl anu projektu ISMS Detailn popisy dlcch krok u vsech p eti f az obsahuje Dodatek (Projekt) t eto predn asky Role dokumentace ISMS Procesy v organizaci opakovateln e, odoln e v uci ztr at e znalost napr. po v ypovedi nekter eho zamestnance, mus b yt dokumentovan e Opakovateln e procesy jsou pak konzistentnejs a vce predvdateln e Ucinnost kazd eho syst emu rzen z avis na patricn e, korektn dokumentaci jeho proces u a na archivu z aznam u demonstrujcch jeho nedostatky ISO 7001 pozaduje dostupnost dokumentace jak kazd eho bezpecnostnho opatren ISMS a tak i relevantnho ISMS Dobre fungujc ISMS je pln e dokumentovan y Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 3

Role dokumentace ISMS Tvorba dokumentace ISMS je casov e nejn arocn ejs c ast projektu Dokumentace ISMS mus b yt upln a, vycerp avajc v souladu s pozadavky standardu ISO 7001 ve forme odpovdajc remnmu stylu a kulture Dokumentace mus b yt dostupn a a pouziteln a a adekv atne chr anen a Pozadavky na dokumentaci ISMS Organizace mus mt syst em rzen dokumentace urcujc jak se informace distribuuj, zprstup nuj, zsk avaj a pouzvaj jak mus b yt informace uchov avan e a chr anen e, vc. udrzen citelnosti zmenov e rzen v dokumentaci pravidla skladov an a likvidace dokumentace zp usob identikace a spr avy dokument u chr anen ych autorsk ymi pr avy zp usob identikace a zach azen s informacemi podle jejich klasikacn urovne z hlediska d uvernosti zp usob zach azen s informacemi perzonalistick eho charakteru Jsou dostupn e syst emy pro rzen dokumentov ych z akladen ISMS obsahujc predpripraven e sablony,... http://www.itgovernance.co.uk/shop/p-146-iso-7001-iso7001- isms-documentation-toolkit.aspx http://advisera.com/7001academy/iso-7001-documentation- toolkit/ Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 4 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 5 Dokumentace ISMS 4-vrstv a struktura dokumentov e z akladny ISMS Minim aln skladba dokument u ISMS dle ISO 7001 je politika informacn bezpecnosti, denice oblasti ISMS, v ysledky hodnocen rizik, cle rzen, prohl asen o aplikovatelnosti d ukazy akc proveden ych organizac a vedenm pri specikaci oblasti (z apis z jedn an veden) popis rdic struktury projektu ISMS (rdic v ybor apod.) v n avaznosti na organizacn sch ema organizace pl an zvl ad an rizik a podp urn e dokumentovan e procedury (odpovednosti, pozadovan e akce) implementujc kazd e opatren { procedura: kdo m a co, jak, kdy, z jak ych podmnek udelat procedury (odpovednosti, pozadovan e akce) rzen a inspekce ISMS Posledn dv e komponenty tvor manu al politiky ISMS mus b yt dostupn y vsem zamestnanc um, elektronicky, tiskem mus b yt strukturovane cslovan y, s udrzov anm reviz,... podrobneji se Manu alu ISMS venuje Dodatek 3 t eto predn asky Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 6 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 7

4-vrstv a struktura dokumentov e z akladny ISMS Autorizacn urovn e dokumentace 1. urove n { vrcholov y management, Board of Directors. urove n { CSO (Chief Security Ocer), spr avce bezpecnosti po projedn an s rdicm v yborem informacn bezpecnosti 3. urove n { CISO (Chief Information Security Ocer), spr avce informacn bezpecnosti + sefov e oddelen/odbor u organizace 4. urove n { CISO (Chief Information Security Ocer), spr avce informacn bezpecnosti + sefov e oddelen/odbor u organizace 4-vrstv a struktura dokumentov e z akladny ISMS 1. vrstva { Politiky Nastaven politik { strategick e pomerne rdce menen e dokumenty na vysok e urovni abstrakce, stanoven princip u Dokumenty autorizovan e nejvyssm managementem autorizace = demonstrace odpovednosti nejvyssho veden za politiky Prklady dokument u 1. urovne { vymezen zabezpecovan e oblasti, { politika informacn bezpecnosti, { pl an resen proces u PDCA pri v yvoji ISMS { v ysledek hodnocen rizik, { prohl asen o aplikovatelnosti, { pl an zvl ad an rizik, { manu al ISMS {... Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 8 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 9 4-vrstv a struktura dokumentov e z akladny ISMS. vrstva { Procedury popis procedur pro implementaci politik, nastaven podnikatelsk ych pozadavk u, procedur a proces u Dokumenty autorizovan e v ykonn ym managementem, konkr etne temi, kter jsou odpovedn za prosazov an politik v konkr etnch oblastech podnik an, a CSO (Chief Security Ocer), spr avcem bezpecnosti, vzdy vsak po projedn an s rdicm v yborem informacn bezpecnosti prklad: politika rzen prstupu si vyz ad a procedury: { spr ava uzivatel u (User Management): zrizov an uct u,... { pridelov an prstupov ych pr av... procedury se mohou menit v pr ubehu roku tak, aby reagovaly na konkr etn podnikatelsk e podmnky a pozadavky, zmeny se sm vsak odehr avat pouze v mezch stanoven ych politikami schv alen ymi nejvyssm managementem 4-vrstv a struktura dokumentov e z akladny ISMS 3. vrstva { Pracovn instrukce Uplat nov an politik pri konkr etnch cinnostech organizace, instrukce pro prov aden konkr etnch ukol u zamestnanci, vc. meren ucinnosti opatren, v organizaci, v jednotliv ych oddelench dokumenty typu smlouva s uzivatelem, popis pr ace, apod. (napr. jak postupovat pri uzavr an dohody se vzd alene pracujcm zamestnancem) jsou vytv aren e vlastnky podnikatelsk ych aktiv/proces u, autorizovan e jejich prm ymi nadrzen ymi a spr avcem informacn bezpecnosti, CISO (Chief Information Security Ocer) jsou pravidelne prezkoumavan e a vylepsovan e, men se pomerne casto, tak jak se men pracovn metody (ISMS se pr ubezne vylepsuje), prpadne tak jak se identikuj rizika (preventivn akce) nebo selh avaj opatren (opravn e akce) zmeny v pracovnch instrukcch se sm vsak odehr avat pouze v mezch stanoven ych procedurami, kter e implementuj Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 30 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 31

4. vrstva Zpr avy 4-vrstv a struktura dokumentov e z akladny ISMS zpr avy o tom, co se stalo, jak ISMS bezel z apisy, logy, z aznamy o incidentech,..., v ysledky audit u z f aze CHECK..., formul are, sablony pro tyto dokumenty Z akladn dokumenty ISMS Celkov a politika informacn bezpecnosti oblasti organizace denuje { zabezpecovanou oblast organizace, { se rozum bezpecnost informac, { komponenty a ucel ISMS a { faktory ovliv nujc rzen cinnosti orgranizace plynouc z denovan eho a systematick eho prstupu k informacn bezpecnosti je vypracovan a na vysok e urovni abstrakce je odsouhlasen a vrcholov ym managementem organizace jej vypracov an vyzaduje ISO 700 ISO 7001 vyzaduje politiku ISMS obe politiky se mohou dopl novat, nahrazovat, z adn a nen implicitne nadrazen a druh e Typovou strukturu politiky ISMS uv ad Doplnek 4 t eto predn asky Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 3 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 33 Z akladn dokumenty ISMS Pl an zvl ad an rizik organizace tak e { syst emov a politika informacn bezpecnosti tak e { syst emov a politika informacn bezpecnosti syst emu XYZ popis jak mus b yt zvl adan a rizika z pohledu informacn bezpecnosti v konkr etne denovan e oblasti ISMS d ale obsahuje dokumenty { Z oblasti spr avy informacn bezpecnosti Soupis citliv ych informacnch aktiv v oblasti (data, informacn syst emy) Hodnocen zranitelnost, hrozeb a rizik pro tato aktiva Manu al ISMS obsahujc Prohl asen o aplikovatelnosti identikace opatren { funkc prosazujc bezpecnost { odpovdajcch zvl adan ym rizik um { Z oblasti n astroj u pro pln en spr avy informacn bezpecnosti Upln a, vz ajemn e souvisejc sestava popis u proces u, politik, procedur a n avod u k cinnostem zajist'ujc informacn bezpecnost v oblasti Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 34 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 35

Typick a dokumentov a z akladna ISMS, systematizace Dokumenty tvorc Manu al ISMS Politika informacn bezpecnosti, denice oblasti pokryt e ISMS, metodologie ohodnocov an rizik, v ystup procesu ohodnocen rizik, prohl asen o aplikovatelnosti, klasikacn sch ema informac, procedury podporujc ISMS,... { detaily viz doplnek predn asky Manu al je dostupn y vsem zamestnanc um v tisten e a/nebo v elektronick e forme Zamestnanci maj b yt skolen podle manu alu ISMS D ukazy akc proveden ych organizac a jejm vedenm pri specikaci oblasti ISMS z apisy ze sch uz veden, zpr avy specialist u,... Popis syst emu rzen informacn bezpecnosti rdc v ybor, CISO,... syst emu rzen by mel odpovdat organizacnmu sch ematu organizace Typick a dokumentov a z akladna ISMS, systematizace Pl an zvl ad an rizik, syst emov a bezpecnostn politika odpovednosti a pozadovan e akce vc. podp urn ych dokumentovan ych procedur implementujcch stanoven a opatren { kdo m a co delat, za jak ych podmnek, kdy, jak { typicky jedna procedura / kazd e implementovan e opatren { detailn popisy pracovnch postup u identikovan e v manu alu ISMS, s autorizacemi vypracovan y obvykle na detailnejs urovni nez manu al ISMS typicky d uvern y dokument s omezenou dostupnost pro role urcen e v ISMS v souladu s klasikacnm sch ematem urcen ym politikou Procedury rdc spr avu a inspekci ISMS odpovednosti a pozadovan e akce souc ast manu alu ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 36 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 37 Typick a dokumentov a z akladna ISMS, systematizace Jak vytv aret dokumentaci ISMS? Pracovn instrukce detailn popisy krok u plncch ukoly predesan e procedurami Formul are, sablony, zpr avy o auditech,... vc. z aznam u o efektivnosti ISMS pro ucely internch audit u a prezkoum av an managementem Metoda pokus u a omyl u, prvn tvorba, pouze vlastnmi silami Typicky potrebn a doba: 14 { 19 mesc u { porozumen pozadavk um: 1 mesc { pl anov an:1 mesc { vypracov an politiky informacn bezpecnosti: 1 mesc { vypracov an prohl asen o aplikovatelnost: mesce { vypracov an procedur: 4 { 6 mesc u { vypracov an pracovnch instrukc: 5 { 9 mesc u Kritika { velk a casov a n arocnost, absence znalosti nejlepsch postup u { projekt pravdepodobne selze dky nezkusen emu veden Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 38 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 39

Jak vytv aret dokumentaci ISMS? Extern spolupr ace, dokumenty vypracuj extern konzultanti Typicky potrebn a doba: 10 { 14 mesc u { porozumen pozadavk um: 1 t yden { pl anov an:1 t yden { vypracov an politiky informacn bezpecnosti: 1 mesc { vypracov an prohl asen o aplikovatelnost: mesce { vypracov an procedur: 3 { 5 mesc u { vypracov an pracovnch instrukc: 4 { 6 mesc u Prnosy { rychl e resen, dostupnost znalosti nejlepsch postup u { projekt pravdepodobne neselze dky zkusen emu veden Kritika { vysok e n aklady { obtzne resiteln e pr ubezn e vylepsov an ISMS (Cyklus PDCA) Jak vytv aret dokumentaci ISMS? Pouzit n avod u a dokumentov eho n astroje pripraven eho tret stranou resen vlastnmi silami podle prototyp u prklady prototyp u: www.itgovernance.co.uk Typicky potrebn a doba: 4 { 7 mesc u { porozumen pozadavk um: 1 t yden { pl anov an:1 t yden { vypracov an politiky informacn bezpecnosti: { 4 t ydny { vypracov an prohl asen o aplikovatelnost: mesce { vypracov an procedur: 1 { mesce { vypracov an pracovnch instrukc: { 4 mesce Prnosy { rychl e resen, dostupnost znalosti nejlepsch postup u { n akladove efektivn resen { projekt pravdepodobne neselze dky postupu podle norem { snadneji resiteln e pr ubezn e vylepsov an ISMS (Cyklus PDCA) Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 40 Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 41 Testov an Proc se testuje ISMS? Funguj procedury rzen tak jak bylo zam ysleno? Funguj bezpecnostn opatren tak jak bylo zam ysleno? Typy test u d ukladn y audit (internm nebo externm) auditorem, zkoumaj se dokumentovan e procedury a demonstruje se jejich cinnost,,paprov e"testov an, logick e testov an opatren a procedur na z aklade znalosti zranitelnost, konstrukc opatren, projev u hrozeb,... re aln e testov an, penetracn testy, testy ztr aty energie,... rozs ahl e sc en arove orientovan e testy { testy pl anu zachov an cinnosti, Behem roku se m a testovat kazd y rys, vlastnost,... ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 4

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář