ISMS { Syst em rzen informacn bezpecnosti

ISMS { Syst em rzen informacn bezpecnosti PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018

Syst em rzen informacn bezpecnosti Information Security Management System, ISMS, Syst em rzen informacn bezpecnosti Souc ast celkov eho syst emu rzen organizace: struktura organizace, politiky, pl anovac cinnosti, odpov ednosti, praktiky, procesy, zdroje Reprezentace { projev { jak organizace pristupuje k rizik um dan ym orientac na informacn ekonomiku Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC 27001 1

Syst em rzen informacn bezpecnosti Cl rzen pomoc proces u ISMS: spr avn e fungujc procesy podporujc informacn bezpecnost v cinnostech organizace, konkr etn e jejich n avrh, implementace, zaveden do provozu, provozov an, monitorov an, prezkoum av an, udrzov an a zajist'ov an stanoven e urovn e zarucitelnosti jejich kvality Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC 27001 2

Syst em rzen informacn bezpecnosti Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC 27001 3

Syst em rzen informacn bezpecnosti, ISO 27001/ISO 27002 B aze pro budov an ISMS { standardy ISO 27001/ISO 27002 ISO 27001 { rk a jak navrhnout ISMS a co m a ISMS delat, nerk a, kter a bezpecnostn opatren m a obsahovat ISO 27002 { kodex nejlepsch praktik zajist'ujcch informacn bezpecnost podporujcch, zpres nujcch/dotv arejcch detaily chov an organizace podle ISO 27001 { rk a kter a bezpecnostn opatren m uze ISMS obsahovat, nerk a co m a ISMS delat, jak vybran a opatren prosazovat cca 15let a historie v yvoje, na poc atku st al britsk y standard BS 7799, ten byl posl eze adoptovan y jako standard ISO Spln en pozadavk u ISO 27001 lze potvrzovat certikac, v soucasnosti drz certik at spln en ISO 27001 tisce ISMS Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC 27001 4

Standard ISO 27001:2013 v roli specikace ISMS N azev { Information Security Management Systems { Specication with Guidance for Use Specikace ISMS jak mus b yt ISMS udelan y Standard specikuje procesy ustanoven a rzen (spr avy, managementu) ISMS procesy zav ad en a provozov an ISMS procesy monitorov an a prezkoum av an ucinnosti ISMS procesy udrzov an a zdokonalov an ISMS procesy spr avy dokumentov e z akladny ISMS odpov ednost veden organizace za projekt ISMS procesy prezkoum av an ISMS audity nez avislou tret stranou procesy aktualizov an (,,zesoucas nov an") ISMS cle a principy vybran ych bezpecnostnch opatren (ilustrativn v ycet uv ad ve sv em Dodatku A) Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC 27001 5

Proc pouzvat standard ISO 27001? Protoze... je specikac dosud zn am ych nejlepsch rdicch praktik (nejlepsch { mezin arodnch, vseobecn e akceptovan ych) a soucasne je n avodem k jejich pouzit specikuje ISMS netechnickou a nejurisdickou formou, nev azanou na konkr etn technologie je systematick y, resen informacn bezpecnosti pokr yv a pln e jeho validnost je prok az ana v mnoha konkr etnch nasazen produkt vybudovan y podle ISO 27001 lze extern e certikovat, v soucasnosti se celosv etov e m escn e certikuj stovky implementac ISMS uzce navazuje na standard ISO 9001, standard kvality podnikatelsk ych proces u organizace Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC 27001 6

Co je vlastne ISMS? Jedn a se o konkr etn e denovan y, DOKUMENTOVANY, kontrolovateln e uplat novan y syst em rzen informacn bezpecnosti ve striktn e vymezen e oblasti organizace Vlastnosti a charakter ISMS na prvn pohled v yrazn e charakterizuje v ycet pozadovan e a doporucovan e dokumentace ISMS Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC 27001 7

V yctov a ilustrace pozadovan e dokumentace ISMS Oblast p usobnosti ISMS Casto samostatn y, kr atk y dokument obv. vypracovan y hned na poc atku zav aden ISMS Politika Informacn bezpecnosti, stanoven bezpecnostnch cl u Celkov a bezpecnostn politika, co proti cemu se chr an Metodologie ohodnocov an a zvl ad ani rizik Typicky 4-5 stran, vypracovan ych drv, nez se spust ohodnocov an rizik Denice pravidel, jak prov ad et rzen rizik, sk aly, urove n akceptovatelnosti rizika Jak zvl adat neakceptovateln a rizika (zvolit opatren, resit pojist enm, zrusenm rizikov e aktivity, zv ysenm urovn e akceptovatelnosti,... Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC 27001 8

V yctov a ilustrace pozadovan e dokumentace ISMS Prohl asen o aplikovatelnosti bezpecnostnch opatren Kter a opatren se zvolila a proc Pl an zvl ad an rizik Kdo kter e opatren za kolik a v jak em case implementuje Dokument okamzit e schvalovan y vedenm (d av a,, penze") Zpr ava o ohodnocen rizik V ysledek ohodnocen rizik Denice rol a odpov ednost v oblasti informacn bezpecnosti Nejleps metodou je popsat role a odpov ednosti pres vsechny politiky a procedury Co nejpresneji! Ne melo by se prov est, ale CISO kazd e pondel v XX:YY udel a XYZ Role a odpov ednosti tretch stran se denuj ve smlouv ach Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC 27001 9

V yctov a ilustrace pozadovan e dokumentace ISMS Soupis aktiv Popis akceptovateln eho pouzv an aktiv Nejl epe formou politiky, specikac pravidel pouzv an kazd eho aktiva Politika rzen prstupu Schvalov an prstupu k urcit ym informacm a syst em um na aplikacn (byznys) urovni a na technick e urovni, m uze pokr yvat logick y i fyzick y prstup. Lze vypracovat az po ohodnocen a zvl adnut rizik. Provozn procedury spr avy IT pro zm enov e rzen, pouzv an sluzeb tretch stran, z alohov an, st'ovou bezpecnost, zvl ad an skodliv eho software, likvidaci dat a zarzen, prenosy informac, monitorov an,... Lze vypracovat az po ohodnocen a zvl adnut rizik. Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC 27001 10

V yctov a ilustrace pozadovan e dokumentace ISMS Principy bezpecn eho syst emov eho inzen yrstv Jak zabudovat bezpecnostn techniky do vsech urovn { lad en, testov an, akceptace, ziv y provoz, techniky autentizace, rzen relac Bezpecnostn politika pro dodavatele jak lustrovat potenci alnho dodavatele, jak ud elat ohodnocen rizik dodavatele, kter a bezpecnostn opatren d at do smlouvy a jak dozorovat jejich pln en, jak lze m enit smlouvu, jak ukoncit prstupy po vyprsen smlouvy,... Procedura reakce na incidenty jak jsou zaznamen av any, klasikov any a zvl ad any bezpecnostn ud alosti a incidenty, zranitelnosti Legislativn, regulacn a smluvn pozadavky Delat co nejdrve, m a vliv na hodne zb yvajcch dokument u a prac Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC 27001 11

V yctov a ilustrace pozadovan ych protokol u ISMS Pln en programu skolen a zvysov an kvalikace Zajist'uje person aln odd elen V ysledky m eren a monitorov an Denice kazd eho opatren by m ela obsahovat KPI (key performance indicators), kter e je potreba m erit a monitorovat Program vnitrnch audit u rocn pl an vnitrnch audit u kdo bude auditor, metoda auditu, krit eria hodnocen V ysledky vnitrnch audit u Auditn zpr avy, zpr avy o v ysledcch audit u Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC 27001 12

V yctov a ilustrace pozadovan ych protokol u ISMS V ysledky a z avery oponentur Z apisy z jedn an managementu V ysledky opravn ych akc Z aznamy (logy) uzivatelsk ych aktivit, v yjimecn ych stavu a bezpecnostnch ud alost Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC 27001 13

V yctov a ilustrace doporucovan e dokumentace ISMS Procedura spr avy dokument u N astroje pro spr avu protokol u Procedura internho auditu Procedura opravn e akce Politika Bring your own device (BYOD) Politika pr ace ze vzd alen eho pracovist e a z mobilnch zarzen Politika klasikace informac Politika hesel Politika likvidace a destrukce Politika cist eho stolu / obrazovky Politika zm enov eho rzen Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC 27001 14

V yctov a ilustrace doporucovan e dokumentace ISMS Politika z alohov an Politika prenosu informac Anal yza dopad u cinnosti na informacn bezpecnost Pl an procvicov an a testov an Pl an udrzby Pl an oponentur Strategie zachov an kontinuity cinnosti Systematizaci, hierarchii dokumentace ISMS probereme v predn asce o projektov an ISMS Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC 27001 15

Druh y vymezujc faktor ISMS { oblast p usobnosti Rzen informacn bezpecnosti lze uplat novat pouze v prostoru uvnitr vymezen e oblasti { scope oblast nemus nutn e b yt cel a organizace informace do oblasti vstupuje a oblast opoust pomoc urcen ych n astroj u { kontrolovan e v oblasti se mus nach azet upln a chr anen a informace vc. vsech souvisejcch technick ych i netechnick ych proces u ISMS v denovan e oblasti zajist'uje rzen informacn bezpecnosti v kontextu podnikatelsk ych proces u organizace (proces u cinnosti) Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC 27001 16

Co je vlastne ISMS? Z denice standardem se jedn a se o syst em rzen, kter y je dokumentovan y, systematicky implementovan y a rzen y, trvale prezkoum avan y, auditovan y a kontrolovan y a trvale vylepsovan y (aktualizovan y) a D UV ERYHODN Y syst em pro rzen informacn bezpecnosti. D ukazem d uv eryhodnosti ISMS je jeho certikace certikaci prov ad tret, nez avisl a certikacn instituce (autorita) certikac ISMS se zsk av a d ukaz uplnosti a kvality ISMS pro podnik an je certikace cen en a, nikoli vsak vzdy nezbytn a certikace prispv a k dosazen maxim aln, dlouhodob e platn e, hodnoty podnikatelsk ych proces u vzdy jde o n aln etapu v yvoje a zaveden ISMS Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC 27001 17

Informacn bezpecnost je probl em rzen na urovni veden N avrh a implementace ISMS je probl em rzen, nikoli technologick y probl em dobr y manazer i bez znalost a hlubok eho porozum en technologim zabezpecov an a bez proniknut do podstaty t echto technolog je schopn y uspesne v est n avrh a implementaci ISMS i ten nejzkusen ejs specialista { bezpecnostn expert bez manazersk ych dovednost a vlastnost, pri veden implementace ISMS t em er jist e selze Manazersk e dovednosti a vlastnosti znalost metod rzen projektu, schopnost ucinn e prosazovat cle, komunikativnost, podnikatelsk a zrucnost, schopnost autorizovat a predat pravomoce podrzen ym, schopnost kontinu alne resit monitoring, udrzov an k azne v t ymu... Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC 27001 18

Podpora od managementu / veden organizace Vrcholov y management se mus pr ukazn e zav azat, ze na realizaci projektu ISMS zajist ekonomick e a person aln zdroje Pozadavek prmo uveden y v ISO 27001, pro certikaci povinn y d ukaz Vrcholov y management mus jasn e stanovit urove n preference projektu ISMS v uci ostatnm projekt um organizace Projekt ISMS je projektem zm eny rzen v organizaci nelze jej jen tak jednoduse transplantovat do existujcch proces u a procedur podnikatelsk ych projekt u zaveden ISMS vyvol a radu zm enov ych rzen Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC 27001 19

Informacn bezpecnost je probl em rzen na urovni veden Klcovou roli hraje s ef projektu ISMS je osobou, na kterou se ostatn spol ehaj, ze jim zajist objasnen podstaty veci, komfort pro pr aci a podporu Prpravenost na usp esnou roli s efa projektu ISMS pozaduje znalost v yznamu informacn bezpecnosti jak v obecn e rovin e, tak pro vlastn organizaci a schopnost tento v yznam srozumiteln e vysv etlit, sd elit obezn amenost s tm, proc pr ave ISO 27001 je ta spr avn a cesta, a to pozaduje z akladn znalost standardu ISO 27001 a princip u jeho uplatn en obezn amenost s tm, jak bude projekt ISMS strukturovan y, jak ymi kroky bude se postupovat a proc se bude takto postupovat v edom, zda se budou pouzvat extern konzultanti nebo zda bude vse resit s ef projektu s am a obezn amenost s klady a z apory obou prstup u Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC 27001 20

Informacn bezpecnost je probl em rzen na urovni veden Odpovednou osobou za ISMS v uci veden rmy typicky b yv a v ykonn y reditel, CEO, Chief Executive Officer odpov ednost osoby jej kari era z avis na usp echu podnik an rmy zav ad ejc ISMS m a jednatelsk e pravomoci v uci tretm stran am i jednatelsk e pravomoci uvnitr spolecnosti CEO je odpovedn y za vetsinu v ykon u v organizaci, ISMS je jednm z nich jestlize do role CEO presel z role manazera IT/bezpecnosti, je to pro roli CEO z pohledu ISMS jenom prnos Vrcholov y management rmy mus vzt projekt ISMS za sv uj prokazateln e, z apisem o rozhodnut apod. pak nancn reditel d a nance a mand at k v yvoji ci k zesilujc aktualizaci ISMS Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC 27001 21

Podpora od managementu / veden organizace CEO mus s efovi projektu ISMS denovat strategick a rizika pro organizaci a jejich projevy/preference z pohledu rizik pro informacn bezpecnost { napr. je riziko kr adeze dusevnho vlastnictv v yznamn ejs nez n ekolikadenn v ypadek cinnosti organizace? je dodrzov an pr avnch predpis u d ulezitejs nez snizov an n aklad u? m a b yt resen ISMS levnejs za cenu dosazen nizs z aruky za informacn bezpecnost nebo drazs a d uv eryhodn ejs? pri koniktu dodrzov an pr avnch predpis u dvou a vce jurisdikc v r uzn ych z ajmov ych trznch oblastech kter a jurisdikce m a vyss prioritu? jak velk a provozn pruznost se povol pridruzen ym spolecnostem, aby byla zajist ena konzistentn urove n informacn bezpecnosti? na jak dlouho se mus pl anovat dostupnost konkr etnch podp urn ych sluzeb?......... Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC 27001 22

Podpora od managementu / veden organizace Role CEO, v ykonn eho reditele organizace, z pohledu ISMS m a b yt hnac slou programu ISMS a dosazen jeho certikace predkl ad a vyssmu managementu organizace informace o pr ubehu projektu a res vznikajc n amitky a probl emy odpovd a za integraci ISMS do ostatnch podnikatelsk ych proces u CEO m uze, ale nemus b yt (a neb yv a) s efem projektu ISMS Podpora vyssm managementem organizace z pohledu ISMS vyss managemente ustanov rdic v ybor z odpov edn ych lid naprc cel ym spektrem podnikatelsk ych proces u organizace v ybor je veden y CEO nebo osobou tmto v ykonn ym reditelem jmenovanou Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC 27001 23

Podpora od managementu / veden organizace Takze CEO mus pln e porozum et podnikatelsk ym prnos um dan ych prosazenm informacn bezpecnosti vc. n avratu investic prezentovat vyssmu managementu a cel emu f oru organizace strategii bezpecnosti informac (tu pravd epodobn e priprav s ef projektu ISMS) organizovat sledov an postupu projektu ISMS vyssm managementem jmenovat rdic v ybor, kter y bude pr ubezne kontrolovat pr ubeh projektu a podporovat s efa projektu (clenov e v yboru maj b yt vhodne v azan na uspechu projektu) b yt schopn y vysv etlovat a prosazovat preferenci projektu ISMS d avat osobn prklad pri pouzv an praktik a dodrzov an procedur stanoven ych ISMS Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC 27001 24

Podpora od managementu / veden organizace Uspesn a implementace ISMS absolutne z avis na re aln e a nepredstran e podpore vrcholov ym managementem organizace Projekt mus podporovat odpov edn a osoba, genericky { CEO odpovedn a = jej kari era mus n alne z aviset na uspesnosti podnikatelsk e entity, kter a uvazuje o aplikaci ISO 27001 tou nemus nutne b yt v ykonn y reditel (CEO) cel e organizace, mus b yt odpov edn a za c ast organizace vymezen e zabezpecovanou oblast CEO mus pln e podporovat s efa projektu, pon evadz projekt ISMS je podnikatelsk y projekt, nikoli pouh y IT projekt ISMS mus odpovdat modelu podnik an, strategii a cl um podnik an pro zaveden ISMS se mus prid elit adekv atn zdroje jedinou osobou, kter a je toto schopn a zajistit je CEO Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC 27001 25

Role s efa informacn bezpecnosti, CISO CISO, Chief Information Security Officer M ame tedy 3 role participujc na realizaci ISMS + rdic v ybor informacn bezpecnosti CEO { v ykonn y reditel, role dan a statutem organizace, m a odpovednost za vesker e v ykon v organizaci, tedy i ze ISMS CISO { spr avce informacn bezpecnosti, role dan a statutem organizace, m a odpov ednost za zajist'ov an informacn bezpecnosti s ef projektu ISMS { osoba pov eren a rzenm vlastnho projektu ISMS role nen standardem v azan a na roli CEO nebo na CISO, ide alne je s ef projektu ISMS manazer schopn y vjemu do informacn bezpecnosti Nepominetulnou roli pro zajist'ov an obsahov e str anky informacn bezpecnosti m a CISO, ve spolupr aci s rdicm v yborem informacn bezpecnosti (m uze b yt jeho clenem) Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC 27001 26

Role s efa informacn bezpecnosti, CISO Kam m a b yt role CISO v organizaci zarazen a? v mal ych organizacch m uze b yt role CISO sdruzen a s s efem IT ve velk ych organizacch (10 3 zamestnanc u) samostatn a role prmo podrzen a CEO (ide al) nebo jin emu oddelen (provozn, IT,... ) Pozadovan e znalosti CISO znalost pouh e generick e informacn bezpecnosti nestac mus zn at byznys procesy v organizaci (jejich rizika,... ) Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC 27001 27

Co je pracovn n apln CISO V oblasti vyhov en legislativnm, regulacnm a smluvnm pozadavk um Vypracov av a seznam zainteresovan ych stran na informacn bezpecnosti Zam estnanci, majitel e rmy, st atn spr ava, regulacn instituce, krizov e sluzby (hasici, policie, z achranka,... ), klienti, media, dodavatel e, partneri,... Vypracov av a seznam pozadavk u zainteresovan ych stran na ITSec Udrzuje kontakt urady a speci alnmi z ajmov ymi skupinami Koordinuje vesker e cinnosti souvisejc s ochranou osobn dat V oblasti spr avy dokument u Vypracov av a draft vsech hlavnch dokument u souvisejcch s informacn bezpecnost (viz seznam pozadovan ych dokument u v yse) Odpovd a za oponov an a aktualizov an t echto dokument u Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC 27001 28

Co je pracovn n apln CISO V oblasti rzen rizik Uc zam estnance jak d elat ohodnocov an rizik Koordinuje vsechny procesy ohodnocov an rizik Navrhuje v yb er opatren Navrhuje casov e limity implementac opatren V oblasti personalistiky Ov eruje uchazece o zam estn an s hlediska informacn bezpecnosti Vypracov av a pl an skolen v oblasti informacn bezpecnosti Pr ubezne je cinn y v oblasti zvysov an bezpecnostnho uvedomen Zaskoluje nov e zam estnance Navrhuje disciplin arn rzen se zam estnanci narusujcmi informacn bezpecnost Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC 27001 29

Co je pracovn n apln CISO Ve vztahu s vrcholov ym managementem Objas nuje prnosy zajist enm informacn bezpecnosti Navrhuje bezpecnostn cle Pod av a zpr avu o m eren ucinnosti opatren Navrhuje akce opravujc a vylepsujc opatren Navrhuje objem n aklad u a zdroj u potrebn ych na zajist en informacn bezpecnosti Sd eluje d ulezit e pozadavky zainteresovan ych stran na ITSec Upozor nuje na hlavn rizika Pod av a zpr avu o implementaci opatren Rad vrcholov emu managementu ve vsech bezpecnostnch probl emech Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC 27001 30

Co je pracovn n apln CISO V oblasti zlepsov an ISMS Zarucuje, ze se provedou vsechny opravn e akce Ov eruje, zda opravn e akce nezp usob nesoulad, nekomfornost V oblasti spr avy aktiv Udrzuje evidenci vsech d ulezit ych informacnch aktiv Bezpecn e likviduje d ale nepouziteln a m edia a zrzen V oblasti styku se tretmi stranami Ohodnocuje rizika outsourcovan ych aktivit Kontroluje vhodnost kandid at u na outsourcujc partnery Denuje polozky, kter e mus obsahovat smlouva s konkr etnm partnerem Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC 27001 31

Co je pracovn n apln CISO V oblasti komunikac Denuje akceptovateln e a neakceptovateln e komunikacn kan aly Pripravuje komunikacn zarzen pouzit a pri katastrof ach V oblasti spr avy incident u Sbr a informace o bezpecnostnch incidentech Koordinuje reakce na bezpecnostn incidenty Pripravuje d ukazy pro soudn rzen po incidentu Analyzuje incidenty s clem prevence proti jejich opakov an V oblasti zachov an kontinuity cinnosti Koordinuje proces anal yzy dopad u katastrock ych incident u na byznys cinnosti a tvorby pl anu cinnosti po takov ych incidentech Koordinuje procvicov an zam estnanc u a testov an pl an u Po incidentu oponuje pl an obnovy Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC 27001 32

Co je pracovn n apln CISO V oblasti technick e bezpecnosti Odsouhlasuje vhodn e metody pro ochranu v mobilnch zarzench, v stch a v komunikacnch kan alech Navrhuje metody autentizace, politiku hesel, metody sifrov an,... Denuje pozadovan e bezpecnostn vlastnosti internetovsk ych sluzeb Denuje principy bezpecn eho v yvoje informacnch syst em u Analyzuje z aznamy o cinnostech uzivatel u a odhaluje podezrel e chov an Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC 27001 33

Postup budov an ISMS { Uvodn kroky Ucelem ISMS je redukce a zvl ad an rizik souvisejcch s bezpecnost informac ta jsou pro lidi z oblasti podnikatelsk ych proces u vesmes nezn am a, je vhodn e proto hned v uvodu resen vypracovat a vydat Seznam aktu alnch relevantnch bezpecnostnch probl em u Pokud bude (certikacn) auditor pochybovat nebo bude nejist y, bude jiste hledat radu a objasnen ve standardu pokud m uze s ef projektu probl em objasnit odkazem na konkr etn text ve standardu, bude jeho pozice siln a To co standard nespecikuje, to jeste nemus b yt chybn e Standard vymezuje minim aln pozadavky, nikoli maxim aln pozadavky Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC 27001 34

Uvodn kroky, dobr y zac atek { p ul je hotovo Zredukujte v zad an vse, co vypad a potencion alne slozit e, n arocn e na cas ci zdroje, obtzn e,... na to, o cem je kazd y presvedcen, ze je realizovateln e v r amci urcen eho casu a pridelen ych zdroj u projekt mus mt prid elen e dostatecn e ekonomick e a perzon aln zdroje na realizaci ISMS mus b yt dost casu i v prpade, ze se v eci nebudou vyvjet dobre { mus existovat casov a rezerva kazd y zam estnanec mus zn at rizika vyzadujc zaveden ISMS a akceptovat opatren, kter a se pouzij pro jejich minimalizaci Vetsina lid nem a r ada zmeny, nerada pracuje s nezn amem ISMS prin as zmeny, a tudz neco (mnoho) nov eho do pracovnch zvyklost. :-(( je potreba poctat, ze alespo n hrstka lid bude projekt podkop avat Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC 27001 35

Vymezen oblasti p usobnosti ISMS Vymezen hranic toho, co se pl anuje implementovat Pozadavek prmo dan y standardem Oblast vymezuje politika informacn bezpecnosti, kter a { mus b yt schv alena vyssm managementem { mus respektovat charakteristiky podnik an, organizace, lokality, aktiv, technologi { mus stanovit cle informacn bezpecnosti a strategii jejich dosazen { mus respektovat vsechny relevantn pozadavky podnik an, pr avn, smluvn,... bezpecnostn pozadavky { mus stanovit krit eria pro hodnocen rizik a strukturu proces u ohodnocen rizik oblast nemus nutn e b yt cel a organizace { informace do oblasti vstupuje a oblast opoust pomoc urcen ych n astroj u { kontrolovan e { v oblasti se mus nach azet upln a chr anen a informace vc. vsech souvisejcch technick ych i netechnick ych proces u Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC 27001 36

Vymezen oblasti p usobnosti ISMS Denov an hranic oblasti hranice jsou fyzicky nebo logicky denovateln e v pojmech organizace ci jej c asti, kter a se m a chr anit (data, ste, geograck e lokace,... ) oblast mus b yt fyzicky/logicky vycleniteln a od tretch stran a od jin ych organizac p usobcch v r amci vets skupiny ISMS je rdic syt em jde o form aln strukturu zajist'ujc konzistentn prosazov an politiky informacn bezpecnosti v oblasti, za kterou je management odpov edn y Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC 27001 37

Role standardu ISO/IEC 27001 { certikace ISO/IEC 27001 { standard norm alu ISMS, o jehoz dosazen lze zskat certik at ISMS { prostred pro n avrh, implementaci, rzen, udrzby a systematick e a konzistentn prosazov an proces u a n astroj u zajist'ujcch informacn bezpecnost v cel e organizaci standard ISO/IEC 27001 respektuje n astroje denovan e standardem ISO/IEC 27002 ISO/IEC 27001 obsahuje seznam n astroj u dle ISO/IEC 27002 jako menu organizace prijmajc ISO/IEC 27001 si z menu potrebn e n astroje vybr a v yber mus vych azet z v ysledk u anal yzy rizik sk ala opatren m uze b yt adekv atne rozsrena v uci ISO/IEC 27002 Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC 27001 38

Role standardu ISO/IEC 27001 { certikace certik at ISO 9000 rk a { my jsme organizace kvalitn e fungujc z hlediska proces u cinnosti (byznysu) certik at ISO 27001 rk a { my jsme organizace kvalitn e pecujc o bezpecnost inormac pomoc proces u clen ych na zajist en informacn bezpecnosti certikace je voliteln a, pokud si certikaci nevyz ad a legislativa Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC 27001 39

Role standardu ISO/IEC 27001 { certikace existuje respektovan y model vz ajemn eho uzn av an certik at u 27001 Mus existovat n arodn akreditacn urad (NAU) u NAU se akredituje certikacn autorita (CA) CA provede audit ISMS typicky v krocch z ajemce o certik at v dotaznku CA popse sv e pozadavky uzavre se smlouva detailn e popisujc pozadavky auditori absolvuj seznamovac interview auditori provedou anal yzu dokumentace auditori provedou anal yzu shody dokumentace s prostredm a provozovan ym ISMS prov ad se n asledn e audity Ex. generick a struktura ISMS Sablona ISMS vyhovujc standardu ISO/IEC 27001 obsahujc n azvy typick ych kapitol/podkapitol, nikoli jejich obsah, tj. nikoli predpisy/deklarace politik/opatren Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC 27001 40

Co d elat pro usp esnost/prosp esnost auditu ISMS Dokumentace je upln a, pokr yv a cel y ISMS a je dostupn a auditor um Jsou dostupn e vsechny zpr avy z internch audit u a z proveden ych test u Vsichni zm estnanci mus b yt instruov an, ze v uci auditor um mus b yt maxim aln e otevren a vstrcn vc. ochotu k demonstracm cinnosti Auditor um je nutn e zprstupnit i oblast vyssho managementu { veden rmy Auditovan a strana mus b yt pripravena diskuse s auditory zastrasov an/dehonestace auditor u je cestou do pekel pomocnou ruku auditori vesm es hodnot pozitivn e Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC 27001 41

Sch ema certikace (kvality, bezpecnosti,... ) v EU ex. iniciativa { org an EA, European co-operation for Accreditation http://www.european-accreditation.org/ ex. National Accreditation Body, NAB { n arodn instituce, u kter ych se akredituj posuzovatel e (ISMS) { Certification Bodies, CB, p usobc v dan e zemi ex. procedury, kter e mus NAB sdruzen e v EA pouzvat, aby byly certik aty (ISMS), vydan e,,jejich"cb, vz ajemne uznateln e Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC 27001 42

Sch ema certikace (kvality, bezpecnosti,... ) v EU ex. dokument EA7/03 EA Guidelines for the Accreditation of bodies operating certication/ registration of Information Security Management Systems n avod pro NAB specikujc procesy certikace ISMS, kter e mus prokazatelne prov adet CB pri ohodnocov an ISMS proti standardu ISO/IEC 27001:2013 CB (periodicky) posuzuje ISMS z ajemce o certik at proti standardu ISO/IEC 27001:2013 na komercn b azi Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC 27001 43

Sch ema certikace (kvality, bezpecnosti,... ) v EU/ CR prklady National Accreditation Body, NAB United Kingdom Accreditation Service, UKAS, http://www.ukas.com/ Cesk y institut pro akreditaci, o.p.s., CIA, www.cia.cz { N arodn akreditacn org an zrzen y vl adou CR poskytujc sluzby ve vsech oblastech akreditace jak st atnm, tak priv atnm subjekt um. prklady Certification Bodies, CB BSI Assessment Services Limited Det Norske Veritas,... CQS { Sdruzen pro certikaci syst em u jakosti, http://www.cqs.cz/ { prov ad mj. i certikace syst em u rzen informacn bezpecnosti dle BS 7799 c ast 2:2002; ISO/IEC 27001:2013 { clen mezin arodnho sdruzen IQNet { st' certikacnch org an u pro certikaci syst em u rzen Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC 27001 44

P r klady certi kat u Jan Staudek, FI MU Brno PV017 { ISMS,ISO/IEC 27001 45