Rzen informacn bezpecnosti v organizaci

Podobné dokumenty
Rzen informacn bezpecnosti v organizaci

Prklad dokumentov e z akladny ISMS

Projekt implementace ISMS Dodatek 1, PDCA

Projekt implementace ISMS

Audit (prezkoum av an) bezpecnostnch opatren, politik, syst em u,...

Politika informacn bezpecnosti, Dodatek

GPDR, General Data Protection Regulation

Projekt implementace ISMS

Politika informacn bezpecnosti, Dodatek

Audit (prezkoum av an) bezpecnostnch opatren, politik, syst em u,...

Distribuovan e algoritmy

Politika informacn bezpecnosti

Prklady opatren, zranitelnost a hrozeb

Sekven cn soubory. PV 062 Organizace soubor u. Jan Staudek Verze : jaro 2018

N avrh a pouzit metrik informacn bezpecnosti, m eren v ISMS

Krit eria hodnocen informacn bezpecnosti, dodatek

Projekt implementace ISMS, Dodatek 2, Pozn amky k projektov emu rzen

ISMS { Syst em rzen informacn bezpecnosti

ISMS { Syst em rzen informacn bezpecnosti

Rzen reakc na bezpecnostn incidenty

Aplikacn bezpecnost. Informacn bezpecnost z pohledu aplikacnch syst em u. PV 017 Bezpecnost informacnch technologi

Uvod, celkov y prehled problematiky

Uvod, celkov y prehled problematiky

N avrh a pouzit metrik informacn bezpecnosti, m eren v ISMS

Rzen rizik. PV 017 Bezpecnost informacnch technologi. Jan Staudek Verze : podzim 2018

projektu implementace ISMS

Aplikacn bezpecnost. PV 017 Bezpecnost informacnch technologi. Jan Staudek Verze : podzim 2017

B azov y fenom en pri zajist'ov an bezpecnosti { riziko

Vl akna. PB 152 Operacn syst emy. Jan ÐStaudek Verze : jaro 2015

Koncept informacn bezpecnosti II

Spr ava hlavn pam eti

Pl anu zachov an kontinuity podnik an,

Pl anu zachov an kontinuity podnik an,

Spr ava hlavn pam eti

Anatomie informacn bezpecnosti

Procesy. PB 152 Operacn syst emy. Jan Staudek Verze : jaro 2017

Krit eria hodnocen informacn bezpecnosti

Projekt implementace ISMS Dodatek 4, Prklad politiky ISMS

Procesy. Uvodem k proces um. PB 152 Operacn syst emy. Program a proces. Uvodem k proces um

Vl akna. Proces a vl akna. PB 152 Operacn syst emy. Resen editoru pomoc vl aken. Koncept sekvencnho procesu m uze b yt neefektivn

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

Obnova transakc po v ypadku

Podsyst em vstupu a v ystupu

Bezs n urov a telefonie, DECT

Koncept informacn bezpecnosti

Poctacov e syst emy { prehled

Koncept informacn bezpecnosti

Prepn an, switching. Propojovac probl em. PV 169 Z aklady prenosu dat. Prepnac, prepnan a st' Metody prepn an

Standardy (normy) a legislativa. informacn bezpecnosti. Standardy (normy) a legislativa. PV 017 Bezpecnost IT

Standardy (normy) a legislativa informacn bezpecnosti

Operacn syst emy { prehled

Soubor, souborov e organizace

Obnova transakc po v ypadku

Operacn syst emy { prehled

Hasov an (hashing) na vn ejsch pam etech

Co je to COBIT? metodika

Informacn teorie. PV 062 Organizace soubor u. Jan Staudek Verze : jaro 2018

PV 017 Bezpecnost IT

Pl anov an. PB 152 Operacn syst emy. Jan Staudek Verze : jaro 2017

Vnitřní kontrolní systém a jeho audit

Sign aly. Data a sign aly. PV 169 Z aklady prenosu dat. Sign al, elektromagnetick y sign al. (Elektromagnetick y) sign al

Volba v udce, Leader Election

Sign aly. PV 169 Z aklady prenosu dat. Jan Staudek Verze : podzim 2018

ISO/IEC 27002:2013. PV 017 Bezpecnost IT. ISO/IEC 27002:2013, Oddly kategori bezpecnosti. ISO/IEC 27002:2013, Popis kategori bezpecnosti

Standardy (normy) a legislativa informacn bezpecnosti

Co je a co není implementace ISMS dle ISO a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o.

Distribuovan e prostred, cas a stav v distribuovan em prostred

Distribuovan e prostred, cas a stav v distribuovan em prostred

Standardy (normy) a legislativa. informacn bezpecnosti. Standardy (normy) a legislativa. PV 017 Bezpecnost IT

Volba v udce, Leader Election

Typologie, funkcn skladba a architektury OS, prklady z Windows, Unix, Linux, MAC OSx

X u zs speci kace { v etev matematiky zabyvaj. Verze : jaro 2018 Jan Staudek, FI MU Brno. X late Middle English

Regulace a normy v IT IT Governance Sociotechnický útok. michal.sláma@opava.cz

Standardy (normy) a legislativa. informacn bezpecnosti. Standardy (normy) a legislativa. PV 017 Bezpecnost IT

Soubor, souborov e organizace

Hierarchick e indexy, B / B+ stromy, tries

Podsyst em vstupu a v ystupu

Data a sign aly. Data a sign aly. PV 169 Z aklady prenosu dat. Sign al, elektromagnetick y sign al

Hierarchick e indexy, B / B+ stromy, tries

egrc řešení - nástroj pro efektivní řízení bezpečnosti dle kybernetického zákona Marian Němec AEC a.s.

Hierarchick e indexy, B / B+ stromy, tries

KYBERNETICKÁ BEZPEČNOST VE SKUPINĚ ČEZ V ROCE 2016

Wireless Sensor Networks, ZigBee

Soubor, souborov e organizace

OCTAVE ÚVOD DO METODIKY OCTAVE

Projektové řízení a rizika v projektech

Vyberte takový SIEM, který Vám skutečně pomůže. Robert Šefr

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

Standardy a definice pojmů bezpečnosti informací

1.1. Správa a provozní podpora APV ROS, HW ROS a základního SW

Deklarace MOP o sociální spravedlnosti pro spravedlivou globalizaci

Typologie, funkcn skladby a architektury OS

ZADÁNÍ ÚZEMNÍ STUDIE (PRO LOKALITU Z5 ÚZEMNÍHO PLÁNU ŽELEZNÝ BROD)

Strategie, architektury a projekty jako nástroj řízení IT ve veřejné správě

ČESKÁ TECHNICKÁ NORMA

Evropský Habitat Praha, března Pražská deklarace

Systém řízení informační bezpečnosti (ISMS)

Souborov e syst emy { koncepty a rozhran

Security. v českých firmách

Digit aln vysl an. PV 169 Z aklady prenosu dat. Jan Staudek Verze : podzim 2018

Transkript:

Rzen informacn bezpecnosti v organizaci Dodatek PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2016

Dodatek predn asky Oblasti rzen ovlivn en e prosazov anm informacn bezpecnosti a prehled odpov ednost a cinnost managementu organizace: Dosazen souladu vsech strategi cinnost organizace Rzen rizik Dod av an (navysov an) hodnoty cinnost organizace Rzen zdroj u M eren v ykonu Zajist'ov an integrace proces u Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpov ednosti 1

Dosazen souladu vsech strategi cinnost organizace Dosazen souladu strategi organizace { koncept Mus se dos ahnout slad en strategie informacn bezpecnosti s celkovou strategi cinnost organizace tak, aby informacn bezpecnost podporovala dosahov an cl u organizace, ne vce, ne m en e prijat a bezpecnostn opatren mus pokr yvat bezpecnostn potreby organizace v oblasti informacn bezpecnosti mus b yt urceny role a stanoveny jejich povinnosti a pravomoci pro navrhov an, schvalov an, prosazov an a kontrolu informacn bezpecnosti bezpecnostn resen mus b yt vybran a a implementovan a s respektem ke st avajcm proces um a pouzvan ym technologim, remn kulture a organizacn strukture investice do informacn bezpecnosti mus b yt prov ad en e v souladu se strategi cinnost organizace tak, aby resily adekv atn pokryt identikovan ych rizik Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpov ednosti 2

Dosazen souladu vsech strategi cinnost organizace Dosazen souladu strategi { povinnosti na úrovních řízení Spr avn rada Vyzaduje prokazatelnost dosazen souladu vsech strategi organizace (prokazov an typicky d ukazy dodan ymi auditn zpr avou) V ykonn y management Ustanovuje procesy nutn e k propojen informacn bezpecnosti a cl u organizace Rdic v ybor (informacn bezpecnosti) Prezkoum av a a podporuje strategie informacn bezpecnosti a usiluje o jejich integraci Zajist'uje, aby management podporoval integraci informacn bezpecnosti do strategi organizace Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpov ednosti 3

Dosazen souladu vsech strategi cinnost organizace Dosazen souladu strategi { povinnosti na úrovních řízení CISO, Chief of Information Security Ocer Vytv ar strategii dosahov an informacn bezpecnosti ( politiku informacn bezpecnosti) Dohlz na pln en bezpecnostnho programu ( na prosazov an politiky informacn bezpecnosti) Komunikuje s manazery a vlastnky organizace pro zajist en trval eho souladu strategi Audit Vyhodnocuje dosazen y soulad strategi a o v ysledku pod av a auditn zpr avu Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpov ednosti 4

Rzen rizik Rzen rizik { koncept Rzen a realizace opatren pro zmrn en rizik resp. snzen potenci alnch dopad u na aktiva organizace na akceptovatelnou urove n Veden organizace mus vyj adrit z ajem o resen rizik a urcit v souladu s cli organizace urove n tolerance rizik V organizaci mus b yt zn am e zranitelnosti, hrozby a rizika ohrozujc aktiva a dosazen cl u Management mus porozum et rizik um, kter ym je organizace vystavena, a dopad um, kter e mohou nastat Management mus stanovit zp usoby rzen rizik vc. priorit, s jak ymi budou rizika zvl adan a nebo akceptovan a Mus b yt zaveden y proces rzen rizik pokr yvajc zejm ena anal yzu rizik, vyhodnocov an rizik, anal yzy trend u a zvl ad an rizik navrhov anm opatren pro zmrn en rizik Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpov ednosti 5

Rzen rizik Rzen rizik { povinnosti na úrovních řízení Spr avn rada Urcuje politiku rzen rizik, urove n tolerance rizik a garantuje regulatorn soulad (soulad s legislativou, smlouvami,... ) V ykonn y management Zajist'uje role a odpov ednosti vc. rzen rizik vsech cinnost Monitoruje dodrzov an regulatornho souladu Rdic v ybor (bezpecnosti) Identikuje nov a rizika Podporuje bezpecnostn praktiky organizacnch jednotek a identikuje ot azky/probl emy v dodrzov an jejich souladu Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpov ednosti 6

Rzen rizik Rzen rizik { povinnosti na úrovních řízení CISO, Chief of Information Security Ocer Zajist'uje, ze se prov ad hodnocen rizik a dopad u informacnch aktiv Vytv ar strategii pro zmrn en rizik ( politiku informacn bezpecnosti) Prosazuje tuto politiku a regulatorn soulad Audit Vyhodnocuje rzen rizik a pod av a o v ysledku zpr avy Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpov ednosti 7

Dod av an (navysov an) hodnoty cinnost organizace Dod av an (navysov an) hodnoty cinnost organizace { koncept Optimalizace investic do informacn bezpecnosti potrebn e pro podporu dosahov an cl u organizace Mus b yt vytvorena standardn sada bezpecnostnch praktik tvorc z akladn urove n bezpecnosti a prim eren e pokr yvajc rizika Usil mus b yt vhodne rozdelovan e tak, aby prim arne byla zvl adan a nejvyss rizika Bezpecnostn opatren mus b yt vhodn e standardizovan a s ohledem na efektivn spotrebu zdroj u dostupn ych pro zajist'ov an bezpecnosti Vsichni v organizaci mus ch apat informacn bezpecnost jako trval y proces, nikoli jako jednor azovou akci Bezpecnostn resen mus b yt zav adena tak, aby i pri spotrebe zdroj u prin asela pridanou hodnotu a prspvala k pln en cl u organizace Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpov ednosti 8

Dod av an (navysov an) hodnoty cinnost organizace Dod av an (navysov an) hodnoty cinnost organizace { povinnosti na úrovních řízení Spr avn rada Vyzaduje zpr avy o n akladech a prnosech bezpecnostnch aktivit a ochrany aktiv V ykonn y management Analyzuje konkr etn prpadov e studie bezpecnostnch resen Rdic v ybor (bezpecnosti) Prezkoum av a a doporucuje adekv atn bezpecnostn kroky podporujc ostatn cinnosti organizace Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpov ednosti 9

Dod av an (navysov an) hodnoty cinnost organizace Dod av an (navysov an) hodnoty cinnost organizace { povinnosti na úrovních řízení CISO, Chief of Information Security Ocer Monitoruje vyuzv an a efektivitu zdroj u na informacn bezpecnost Audit Vyhodnocuje efektivitu a v ykonnost bezpecnostnch opatren a pod av a o v ysledku zpr avy Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpov ednosti 10

Rzen zdroj u Rzen zdroj u { koncept Clem je ucinn e a uceln e vyuzv an bezpecnostnch znalost, infrastruktury a zdroj u organizace Nabyt e a osvojen e bezpecnostn znalosti mus b yt dostupn e a chr anen e Bezpecnostn procesy a aktivity mus b yt vhodn e standardizovan e Zaveden e procesy a praktiky mus b yt dokumentovan e Bezpecnostn architektura mus b yt vytvorena tak, aby urcovala a efektivn e vyuzvala zdroje na bezpecnost Vsechna aktiva mus b yt vyuzv ana a spotrebov av ana v souladu s cli organizace Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpov ednosti 11

Rzen zdroj u Rzen zdroj u { povinnosti na úrovních řízení Spr avn rada Dohlz na politiku rzen znalost a vyuzit zdroj u V ykonn y management Zajist'uje procesy pro nab yv an znalost a m eren ucinnosti a ucelnosti vyuzv an zdroj u Rdic v ybor (bezpecnosti) Prezkoum av a procesy pro nab yv an a sren znalost Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpov ednosti 12

Rzen zdroj u Rzen zdroj u { povinnosti na úrovních řízení CISO, Chief of Information Security Ocer Vytv ar metody pro nab yv an a sren znalost Vytv ar metriky pro m eren ucinnosti a ucelnosti vyuzv an zdroj u Audit Vyhodnocuje rzen zdroj u a pod av a o v ysledku zpr avy Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpov ednosti 13

M eren v ykonu M eren v ykonu { koncept Nepretrzit e sledov an napl nov an cl u organizace pozaduje m eren, monitorov an a reportov an proces u rzen bezpecnosti Bezpecnostn metriky mus b yt denov any v souladu se strategick ymi cli organizace a mus b yt odsouhlaseny Procesy rzen bezpecnosti mus b yt m ereny tak, aby byly identikov any nedostatky a aby byla zajistena zpetn a vazba do implementovan ych n apravn ych opatren Mus b yt prov adeny nez avisl e anal yzy a audity bezpecnosti Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpov ednosti 14

M eren v ykonu M eren v ykonu { povinnosti na úrovních řízení Spr avn rada Vyzaduje zpr avy o efektivit e bezpecnosti V ykonn y management Pozaduje prov ad et monitorov an a metriky pro bezpecnostn cinnosti Rdic v ybor (bezpecnosti) Prezkoum av a a doporucuje zda a jak bezpecnostn aktivity napl nuj cle organizace Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpov ednosti 15

M eren v ykonu M eren v ykonu { povinnosti na úrovních řízení CISO, Chief of Information Security Ocer Vytv ar a zav ad prstupy k monitorov an a meren Rd a monitoruje bezpecnostn aktivity Audit Vyhodnocuje urove n ucinnosti a ucelnosti m eren a metrik a pod av a o v ysledku zpr avy Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpov ednosti 16

Zajist'ov an integrace proces u Zajist'ov an integrace proces u { koncept Cinnosti zajist'ov an bezpecnosti mus mus b yt prov ad en e v souladu se strategi cinnost organizace a tak, aby byla minimalizovan a moznost v yskytu skryt ych rizik Nesm existovat nedostatky v ochran e aktiv organizace Bezpecnostn opatren se nesm zbytecn e prekr yvat, nesm b yt ne uceln e redundantn Cinnosti pro zajist en bezpecnosti mus b yt implementov any v souladu se strategi organizace a mus b yt vz ajemne prov az any Mus b yt spr avn e urceny role a odpov ednosti za bezpecnostn procesy Pracovnci zajist'ujcc bezpecnost mus vz ajemn e komunikovat a rozumet sv ym potreb am Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpov ednosti 17

Zajist'ov an integrace proces u Zajist'ov an integrace proces u { povinnosti na úrovních řízení Spr avn rada Dohlz na politiku zajist'ujc integraci proces u V ykonn y management Dohlz nad cinnostmi zajist'ujcmi bezpecnost a nad pl any pro integraci Rdic v ybor (bezpecnosti) Indikuje kritick e procesy a odpov ednosti Rd aktivity vedouc k prov az an proces u bezpecnosti Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpov ednosti 18

Zajist'ov an integrace proces u Zajist'ov an integrace proces u { povinnosti na úrovních řízení CISO, Chief of Information Security Ocer Udrzuje kontakt s ostatnmi odpov edn ymi pracovnky Zajist'uje, aby byly identikov any a reseny nedostatky v informacn bezpecnosti Audit Vyhodnocuje efektivitu proces u pro zajist en bezpecnosti prov aden ych v r amci r uzn ych oblast a pod av a o v ysledku zpr avy Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpov ednosti 19

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář