Systém řízení informační bezpečností (ISMS) RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost, MI-IBE, zimní semestr 2011/2012, Přednáška 3 MI-POA Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti Informační bezpečnost (MI-IBE) 3.přednáška Informační bezpečnost: Řízení IS/IT 1
malá vsuvka z oblasti řízení.. Ad řízení (nejen) IS/ICT - trochu teorie a a praxe Hlavní skupiny činností v informatice Kvalita a výkonnost podnikové informatiky je výrazně ovlivněna přístupem k jejímu řízení, rozvoji a provozu Informatika náplní nejsou jen aplikace (ASW) a technologie; význam lidského faktoru a nastavení procesů Činnosti v oblasti informatiky rozdělíme do tří provázaných skupin: 2
Řízení informatiky IS/ICT (strategické řízení IS/ICT, plánování a koordinace projektů, řešení vztahů s dodavateli a zákazníky/uživateli IS/ICT, plánování finančních, personálních, datových a technologických zdrojů, řízení projektů a provozu informatiky ) Informační manažer, plánovač, specialisté Rozvoj informatiky - aplikací a technologií (řešení projektů, analýza a návrh obsahu projektů, specifikace programových modulů a technologií, programování, testování, dokumentace řešení ) Uživatel Provoz informatiky - aplikací a technologií (zajištění provozu aplikací na serverech a koncových stanicích uživatelů, provozu počítačových sítí, technických a softwarových prostředků, databází, údržba, dokumentace provozu) Projektant, analytik, Správce sítě, správce vývojář,.. databáze, Řízení informatiky Řízení informatiky je významnou a integrální součástí podnikového řízení S rozvojem IS/IT nabývá na významu (IT vstupují do dalších a dalších obchodních, výrobních, finančních procesů podniku) Roste složitost řízení (s rostoucím rozsahem IS, jejich provázaností a růstem počtu uživatelů a jejich nároků Historický pohled (výpočetní střediska, předávání sestav) x osobní počítače, informační systémy 3
Řízení informatiky Proč je nezbytné orientovat se alespoň v základech řízení IS/IT (informatiky): Co lze od IS/IT očekávat Jaká je jeho role Jaké je jeho odpovědnost a pravomoci Jak mně může pomoci v mé práci (pro provoz mých aplikací) hodnocení úrovně práce útvaru Hlavní skupiny činností v informatice Řízení informatiky Veškeré činnosti spojené s určováním základní koncepce a strategie informatiky, s plánováním jednotlivých rozvojových projektů, s poskytovaných služeb, se zajišťováním potřebných zdrojů 4
Současné nároky na řízení IS/IT 3 hlavní cíle řízení: Zajistit vysokou funkcionalitu IS (evidenční a transakční funkce, funkce analytické (finanční, prodejní), funkce pro podporu rozhodování a funkce kontrolní) Dosažení požadované úrovni disponibility IS/IT (bezpečnost, spolehlivost, doba odezva,..) Efektivita (poměr efektů a nákladů) optimalizace nákladů na ICT produkty a služby Současné nároky na řízení IS/IT Pozice řízení IT ve firmě: Ovlivněna celkovou úrovní řízení ve firmě Realizované projekty ve firmě (rozvoj výroby) Rozsah a struktura uživatelů (zákazníků služeb) Rozsah a úroveň informačních služeb pro zákazníky (e-bussiness, rezervační systémy,..), počet a struktura zákazníků, jejich požadavky (např. na připojení) specificky: zákazník=veřejnost 5
Současné nároky na řízení IS/IT Míra outsorcingu činností (provozu, rozvoje, řízení), Řešení systémové integrace (kdo ji vykonává externě nebo interně) Personální zajištění činností (počet, kvalifikace, motivace) Současné nároky na řízení IS/IT IS/IT spoluvytvářejí charakter firmy, promítá se do přípravy a realizace většiny strategických záměrů firmy ( podpora nových služeb, uplatnění v marketingu, reakce na poptávku) IS/IT také jako předmět podnikání (podnikatelská aktivita) Řízení IS/IT by mělo být v řízení podniku adekvátně zastoupeno 6
Současná praxe Velké rozdíly mezi podniky, Nedostatečné představy vrcholového managementu o možnostech a rizicích IS/IT Bouřlivý rozvoj trhu zvyšuje rizika ICT vs. Business (dva světy, mezi nimiž leží Komunikační, kulturní a jazyková bariéra Pohled Business x pohled ICT Role členů vrcholového vedení ve vztahu k IS/IT Rozumět místu IS/ICT v současném prostředí Spolupodílet se na rozhodování o oblastech a prioritách nasazení IS/ICT v podniku Prosazovat správné využití informací a IS/ICT zaměstnanci podniku Definovat vlastní informační potřebu 7
Role ředitele (manažera) informatiky (IS/IT) - (Chief Information Officer- CIO) Orientace IS/ICT na základní cíle podniku (obchodní orientace) Spolupodílet se na formulaci těchto cílů (inicializace cílů využívající nové možnosti IS/ICT) Zajištění integrity IS/ICT podniku a koordinace všech projektů Metodiky řízení podnikové informatiky Vzhledem k významu IS/IT pro výkonnost a úspěšnost firem se rozvinuly metodiky a modely řízení IS/IT: ITIL (IT Infrastructure Library) COBIT (Control Objectives for Information and Related Technology) CMMI (Capability Maturity Model for Integration) 8
Zdroj: ANECT s.r.o. Hierarchická struktura řízení IS/IT Informační strategie strategické řízení Rozvoj infrastruktury Řízení projektů (aplikací) Řízení provozu aplikací taktické řízení operativní řízení 9
Magický trojúhelník IS/IT ROZSAH/KVALITA (funkčnost) ČAS (rychlost) NÁKLADY (cena) Řízení bezpečnosti, IT Governance 10
Techno-centric IT oddělení=nákladové středisko Důraz na řízení nákladů a infrastruktury Řízení technologií Business pohled na IT: problém Business-centric Trendy v IT IT oddělení=obchodní a inovační středisko Propojení s businessem (business alignement) Service-centric Optimalizace aplikací, onformační a obchodní procesy Obchodní inovace s podporou IT IT oddělení=servisní středisko Porozumění businessu Optimalizace infrastruktury, optimalizace a organizace IT procesů Řízení IT služeb Spolupráce se zákazníky Business pohled na IT: řešení Business pohled na IT: spolupráce Řízení IT Informační strategie Strategické řízení Taktické řízení Řízení služeb, zdrojů, systémová integrace Operativní řízení Řízení projektů Řízení provozu IS/ICT 11
Řízení IT Strategické řízení IS/ICT (1) Strategické řízení IS/ICT - (cíle, architektury, standardy, projekty, sourcing harmonogram, rozpočet, organizace, pravidla řízení,...) Taktické řízení IS/ICT (2) Řízení a integrace IS/ICT - plánování, organizace, integrace, koordinace rozvoje a změn I S/ICT Služby IS/ICT (3) Řízení dodávky služeb IS/ICT (vývoj, nákup prodej) Zdroje IS/ICT (5) Řízení ekonomiky IS/ICT - finančních zdrojů (6) Řízení lidských zdrojů IS/ICT (4) Řízení vlastností služeb IS/ICT (důvěrnost, bezpečnost, spolehlivost, dostupnost, integrita, řízení rizik) (7) Řízení datových zdrojů (8) Řízení ICT zdrojů a konfigurací (ASW, ZSW, HW, síť LANa WAN) Operativní řízení IS/ICT (9) Řízení jednotlivých projektů IS/ICT (vývoj, údržba, implementace) (10) Řízení provozu IS/ICT (služeb a zdrojů) IT Governance Souhrn vztahů a procesů sloužících k řízení a kontrole organizace při používání informačních technologií a procesů Účelem je: Dosažení podnikatelských cílů Získání přidané hodnoty Udržování rovnováhy míry rizik a zisku IT Governance dává organizaci možnost efektivněji a bezpečněji využít zdroje IT Vzájemné ovlivňování Enteprise Governance a IT Governance u organizací dominantně závislých na ICT 12
IT Governance Odpovědnost vedení podniku a výkonného managementu, Skládá se z: Vedení Organizačních struktur Procesů, které mají zajistit, že IT v organizaci podporuje a rozšiřuje strategie a cíle organizace IT Governance: fungování a transformace IT, aby plnilo současné i budoucí potřeby businessu a jeho zákazníků: Řízení přidané hodnoty dodávané IT Řízení IT rizik Strategický soulad IT s businessem (sjednocení strategií) Řízení IT zdrojů Měření výkonnosti IT Governance IT Governance lze také chápat jako uspořádání pravidel a pravomocí k rozhodování o IS/ICT Rozhodování o IS/ICT lze rozdělit do 5 oblastí: Poslání IS/ICT Infrastruktura IS/ICT Architektura IS/ICT Podnikové aplikace IS/ICT Investice do IS/ICT 13
IT Governance Dle toho kde se rozhoduje o uvedených oblastech a kdo zodpovídá za poskytování dat z uvedených oblastí se rozlišuje šest způsobů rozhodování: Business monarchie Rozhodování o IS je v kompetenci nejvyššího vedení organizace (ředitel organizace, jmenovaná skupina členů nejvyšších vedení) IS/ICT monarchie Rozhodování náleží řediteli IS/ICT (CIO) nebo skupině tvořící nejvyšší vedení ICT útvaru Feudální uspořádání Rozhodují ředitelé jednotlivých business útvarů a útvaru IS/ICT, vlastníci procesů (autonomie jednotek) Federální uspořádání Rozhoduje se na úrovni vrcholového řízení firmy ve spolupráci s business útvarem Duopol Rozhodnutí vytváří ICT management ve spolupráci s vedením business útvaru Anarchie Rozhodování nemá pravidla, provádí se ad-hoc, rozhoduje kterýkoliv uživatel IT Governance IT Governance Strategické a dlouhodobé řízení IS/ICT Zaměření na soulad IS/ICT se strategickými cíly organizace Založeno na vzájemném porozumění a oboustranné komunikace mezi IS/ICT a ostatními útvary IT management Taktické a operativní řízení IS/ICT Zaměřeno na každodenní schopnost IS/ICT poskytovat definované služby a plnit stanovené úkoly Spojeno s interním řízením uvnitř IS/ICT útvarů 14
ISMS.Zpět k ISMS (i když jsme stále byli v oblasti řízení, kam spadá i ISMS) Systém řízení Mechanismem k zajištění všech aspektů provozování složitého celku je systém řízení (MS) Systém řízení umožňuje: Určení požadovaných cílů Stanovení metod jak cílů dosáhnout Kontrolu dosažení cílů (pomocí určených metod) Systém řízení zavádí: Organizační strukturu Systematické zprac. procesů a souvisejících zdrojů Metodologii pro měření a vyhodnocování parametrů Přehodnocování implementace zlepšení 15
Součásti systému řízení MS pro zajištění kontinuálního provozu řeší fázi plánování, provozu i reakce na změny Politika Stanovení základního směru a cílů, deklarace souhlasu s dodržováním Plánování Identifikace potřeb, zdrojů, struktury, odpovědností Implementace a provoz Budování povědomí, školení Objektivní měření efektivity a výkonu Monitorování a měření parametrů, řešení incidentů a neshod, audity Zlepšování Provádění nápravných, preventivních a zlepšovacích opatření Zpětná vazba Management review Information Security Management System (ISMS) ISMS je systém managementu bezpečnosti informací o Součást globálního systému řízení organizace o Založen na přístupu vyhodnocování rizik o Komplexní mechanismus průběžné analýzy, implementace, kontroly, údržby a zlepšování systému informační bezpečnosti Zajištění systematické prevence vzniku incidentů Spolehlivé vnitřní kontrolní mechanizmy Stanovení vymahatelných pravidel a povinností pro všechny zainteresované strany 16
ISMS Systém řízení informační bezpečnosti Pravidla fungování ISMS vymezena bezpečnostní politikou Zavedení ISMS znamená vznik nových organizačních struktur (bezpečnostní ředitel, bezpečnostní fórum, další role) Zavedením ISMS se v organizaci implementují řídící a kontrolní mechanismy, jejichž cílem je monitorovat adekvátnost navržených opatření a jejich uplatňování v praxi Otázky? Děkuji za pozornost RNDr. Igor Čermák, CSc. igor.cermak@fit.cvut.cz 17