ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

Podobné dokumenty
MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

ČESKÁ TECHNICKÁ NORMA

srpen 2008 Ing. Jan Káda

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi října 2011 r

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Překlad a interpretace pro české prostředí

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Zdravotnické laboratoře. MUDr. Marcela Šimečková

Řízení rizik. RNDr. Igor Čermák, CSc.

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

Systém řízení informační bezpečnosti Information security management systém

V Brně dne 10. a

Státní pokladna. Centrum sdílených služeb

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

Management informační bezpečnosti

SMĚRNICE DĚKANA Č. 4/2013

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007

V Brně dne a

Systém řízení informační bezpečnosti (ISMS)

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

ISMS. Uživatel jako zdroj rizik. V Brně dne 5. a 12. prosince 2013

Implementace systému ISMS

ISO 9001 : Certifikační praxe po velké revizi

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

INFORMACE O ZAVEDENÉM SYSTÉMU KVALITY dle normy ČSN EN ISO 9001:2009 ve společnosti

5 ZÁKLADNÍ PRINCIPY SYSTÉMOVÉHO ŘÍZENÍ BOZP

Předmluva: Vítejte v ITIL! Úvod 15 IT Infrastructure Library O této knize ITIL (IT Infrastructure Library ) 1.3. Služby a správa služeb

1. Politika integrovaného systému řízení

MANAŽER SM BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.10/2007

Gradua-CEGOS, s.r.o. AUDITOR BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI. CS systémy managementu organizací verze 2, 8.2, b) 1.

1. Certifikační postup. 1.1 Příprava auditu. 1.2 Audit 1. stupně

Zásady managementu incidentů

Co je a co není implementace ISMS dle ISO a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o.

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

1. KURZ č. 1 - QMS - Školení a výklad normy ČSN EN ISO 9001: KURZ č. 2 - QMS - Školení interních auditorů QMS a metrologa

EMS - Systém environmentálního managementu. Jiří Vavřínek CENIA

Jak auditovat systémy managementu bez příruček a směrnic Ing. Milan Trčka

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

Řízení informační bezpečnosti a veřejná správa

Audity ISŘ. Je-li tento dokument vytištěn, stává se neřízeným. MERO ČR, a. s. Veltruská 748, Kralupy nad Vltavou SJ-GŘ Lenka Šloserová v. r.

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.

SOUBOR OTÁZEK PRO INTERNÍ AUDIT (Checklist)

Bezpečnostní politika společnosti synlab czech s.r.o.

Vnitřní kontrolní systém a jeho audit

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

WS PŘÍKLADY DOBRÉ PRAXE

Systém řízení bezpečnosti informací v praxi

Systém managementu jakosti ISO 9001

Pelantová Věra Technická univerzita v Liberci. Předmět RJS. TU v Liberci

Příklad I.vrstvy integrované dokumentace

Kybernetická bezpečnost

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

Základy řízení bezpečnosti

Výukový materiál zpracovaný v rámci projektu Výuka moderně

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Systémy řízení QMS, EMS, SMS, SLP

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok

Dokumentace pro plánování a realizaci managementu jakosti dle požadavků

Ing. Josef Svoboda, Ph.D. Regionservis Pleinservis, s.r.o Dětenice 11. května 2011

Systémy řízení EMS/QMS/SMS

Model systému managementu pro řízení ÚSC. Ing. Štěpán Kmoníček, Ph.D. odbor strategického rozvoje a koordinace veřejné správy

Metodika certifikace zařízení OIS

POŽADAVKY NORMY ISO 9001

Zákonné povinosti v oblasti energetické účinnosti. Ing. Simon Palupčík, MBA

Požadavky ISO 9001:2015 v cyklu PDCA Požadavky ISO 9001:2015 v cyklu P-D-C-A

MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.8/2007

Školení QMS pro zaměstnance společnosti ČSAD Tišnov, spol. s r.o.

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

Výtisk č. : Platnost od: Schválil: Podpis:

BEZPEČNOSTI INFORMACÍ

ISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA

SYSTÉMY ŘÍZENÍ. Ing. Jan Štejfa

Zpráva z auditu. Kasárenská Hodonín CZ 0124/11. Typ auditu. Recertifikační audit Vedoucí Auditor. Jan Fabiánek.

Politika ISŘ. Je-li tento dokument vytištěn, stává se neřízeným. MERO ČR, a. s. Veltruská 748, Kralupy nad Vltavou R-GŘ-04

Kybernetická bezpečnost MV

AUDITOR EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.9/2007

NOVÉ NORMY ISO 2016 INTEGROVANÝ SYSTÉM MANAGEMENTU. Kontakt:

ISO 9001:2015 CERTIFIKACE ISO 9001:2015

Rozdíly mezi normou ISO 9001:2008 a ISO 9001:2015.

Obecné nařízení o ochraně osobních údajů

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

AUDITOR KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.5/2007

Kybernetická bezpečnost resortu MV

TVORBA BEZPEČNOSTNÍ POLITIKY ORGANIZACE A HAVARIJNÍHO PLÁNU

Návrh aktualizace rámce COSO vymezení ŘKS 2. setkání interních auditorů z finančních institucí

Věstník ČNB částka 18/2010 ze dne 21. prosince ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010

ČSN EN ISO (únor 2012)

Management bezpečnosti informací dle ISO 27001:2006. Zkušenosti se zaváděním ve společnosti SYSCOM SOFTWARE s.r.o.

Interní audit. Organizační opatření

Věstník ČNB částka 20/2002 ze dne 19. prosince 2002

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Návrh. VYHLÁŠKA ze dne 2016 o požadavcích na systém řízení

Příručka jakosti a environmentu

Transkript:

ISMS Zavádění a provozování ISMS Bezpečnostní projekt V Brně dne 10. října 2013

Co je to bezpečnost informací Systematické ti úsilí (proces), jehož účelem je trvalé zlepšování ochrany cenných informací (aktiv) ve všech formách jejich výskytu Cíle bezpečnosti informací dostupnost integrita důvěrnost Systém managementu bezpečnosti informací 2

Zdroje potřeb bezpečnosti informací Požadavky zákonů a regulačních orgánů ochrana osobních údajů, IS veřejné správy, ÚOOÚ, ČNB, mezinárodní prostředí Sarbanes-Oxley, HIPAA, Basel II, Zajištění kontinuity podnikání dostupnost a spolehlivost počítačových služeb schopnost prezentace ochrany informací ochrana know-how Vytváření vztahů důvěry a jejich udržení vytváření holdingů požadavky obchodních partnerů důvěra zákazníků Systém managementu bezpečnosti informací 3

Struktura ISMS Vstupy normativní - právní prostředí - regulace -společnost -školení - detekce anomálií -audit a řízení Zpětná vazba ISMS MNGMT Vstupy strategické - obchod - rizika obchodu rozhodnutí Zpětná vazba Vstupy provozní - služby (SLA) - rizika provozu Technologie - politiky - procedury - mechanizmy Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 4

Proces řešení bezpečnosti informací Systém managementu bezpečnosti informací 5

Systém managementu bezpečnosti informací (ISMS) Definice i ISMS vychází již ze samotného názvu ISMS (Information Security Management System), tedy ze systému řízení bezpečnosti informací. Bude se jednat o řízení bezpečnosti informací se všemi atributy, které to obnáší. Je třeba si uvědomit, že ISMS je částí celkového systému řízení organizace. ISMS je založen na využití modelu PDCA (Demingův model) a má čtyři etapy: Ustanovení ISMS (určuje rozsah a odpovědnosti) Zavádění a provoz ISMS (prosazení vybraných bezpečnostních opatření) Monitorování a přezkoumání ISMS (zajištění zpětné vazby a hodnocení řízení) Údržba a zlepšování (odstraňování slabin a soustavné zlepšování) Systém managementu bezpečnosti informací 6

Systém managementu bezpečnosti informací (ISMS) ISMS (Information Security Management System) představuje systematický ti a řízený ý proces trvalého zlepšování bezpečnosti č informací podle uznávané mezinárodní normy ISO/IEC 27001 Přínosy zavedení ISMS zajištění kompatibility v oblasti bezpečnosti s ostatními organizacemi ujištění partnerů a zákazníků o adekvátní ochraně informací možnost získat mezinárodně uznávaný certifikát rozšíření prvků systému integrovaného managementu Registr certifikátů www.iso27001certificates.com Systém managementu bezpečnosti informací 7

Motivace zavádění ISMS Klíčovým momentem při zavádění íismsj je pochopení motivace organizace Příklady motivací orgány veřejné správy Národní strategie informační bezpečnosti firma nemá žádné papíry, které by předložila regulačnímu orgánu zlepšení pozice firmy nebo útvaru firmy při auditech marketingové důvody získání certifikátu podle ISO a někdy také zlepšit skutečnou úroveň bezpečnosti Systém managementu bezpečnosti informací 8

Postupy zavádění a provozování ISMS Systém managementu bezpečnosti informací (ISMS) se buduje podle požadavků normy ISO/IEC 27001 Zvládání bezpečnosti informací Plánuj 4.2.1 Ustavení ISMS Požadavky a očekávání bezpečnosti informací Jednej 4.2.4. 4 Udržování a zlepšování ISMS Cyklus rozvoje ISMS 4.2.2 2 Zavádění a provoz ISMS Dělej 4.2.3 Monitorování a přezkoumání ISMS Kontroluj Systém managementu bezpečnosti informací 9

Ustavení ISMS určení č rozsahu a hranice ISMS podle činností organizace a jejího jíh organizačního uspořádání [ISO/IEC 27001 4.2.1 a] zpracování politiky ISMS [ISO/IEC 27001 4.2.1 b] zpracování metodiky hodnocení rizik a určení kritérií pro akceptaci rizik [ISO/IEC 27001 421c] 4.2.1 identifikace informačních aktiv, identifikace a hodnocení rizik ohrožení informačních aktiv [ISO/IEC 27001 4.2.1 d - g] zpracování prohlášení o aplikovatelnosti opatření dle přílohy A normy ISO/IEC 27001 a jeho schválení vedením organizace [ISO/IEC 27001 4.2.1 h - j] Systém managementu bezpečnosti informací 10

Ustavení ISMS Řízení rizik (Risk Management) je koordinace potřebná k řízení a kontrole organizace s ohledem na rizika. Hodnocení rizik (Risk Assessment) je proces analýzy a vyhodnocení rizik. Analýza rizik (Risk Analysis) je systematické používání informací pro odhad míry rizika a určení jeho zdrojů. Vyhodnocení rizika (Risk Evaluation) je proces porovnávání odhadnutého rizika s danými kritérii pro určení jeho významu. Zvládání rizik (Risk Treatment) je proces výběru a přijímání opatření pro snížení rizika. Akceptace rizika (Risk Acceptance) je rozhodnutí přijmout riziko. Prohlášení o aplikovatelnosti (Statement of Aplicability) je dokument s popisem opatření v ISMS organizace. Systém managementu bezpečnosti informací 11

Zavedení ISMS zpracování plánu zvládání rizik ik [ISO/IEC 27001 4.2.2 2 a, b, f, g] zpracování dokumentace postupů provádění opatření ISMS [ISO/IEC 27001 422c 4.2.2 c, d, e, h] navržení záznamů k prokázání provozu ISMS [ISO/IEC 27001 4.3.3] Příručka bezpečnosti informací (příručka ISMS) slouží ke zdokumentování všech bezpečnostních opatření a k objasnění bezpečnostních principů všem uživatelům a manažerům. Systém managementu bezpečnosti informací 12

Zavedení ISMS Účinnost bezpečnosti informací (Information Security Effectiveness) rozsah bezpečnosti informací naplňující cíle organizace (zda daný proces probíhá správně ě a zda opatření íjsou správně ě implementována. Metriky slouží k měření účinnosti bezpečnosti informací Dělení metrik (dle NIST): -implementační - výkonnostní - dopadové Míra (Measure) ukazatel (i více) určující informační potřebu. Měření (Measurement) proces získávání informací o účinnosti ISMS. Záznam dokument o dosaženém výsledku či důkazu o činnosti v řízení kvality. Systém managementu bezpečnosti informací 13

Tabulka metrik (podle ISO/IEC 27004:2009) B.1 ISMS školení B.1.1 ISMS - vyškolený personál B.1.2 Školení informační bezpečnosti B.1.3 Dodržování povědomí informační bezpečnosti B.2 Politiky hesel B.2.1 Kvalita hesel manuální B.2.2 Kvalita hesel automatizovaná B.3 Kontrola procesu ISMS B.4 Neustálé zlepšování správy incidentů bezpečnosti informací (ISMS) B.4.1 Účinnost B.4.2 Provádění nápravného opatření B.5 Závazek vedení (managementu) B.6 Ochrana proti škodlivým kódům B.7 Kontrola fyzického přístupu B.8 Vyhodnocení Log souborů B. 9 Řízení periodické údržby B.10 Bezpečnost ve smlouvách se třetími stranami Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 14

Monitorování a přezkoumání ISMS zpracování metodiky k provádění íinterních auditů a měření íúčinnosti opatření ISMS [ISO/IEC 27001 4.2.3, 6] proškolení interních auditorů a provedení interního auditu ISMS [ISO/IEC 27001 6, 8.2] zpracování přezkoumání ISMS vedením [ISO/IEC 27001 7.2, 7.3] Audit (Audit) systematický, nezávislý a dokumentovaný proces sloužící k objektivnímu hodnocení dle předem stanovených kritérií. Přezkoumání (Review) určení č vhodnosti, přiměřenosti a efektivnosti předmětu přezkoumání k dosažení stanovených cílů. Systém managementu bezpečnosti informací 15

Údržba a zlepšování ISMS Neshoda (Nonconformity) je nesplnění ě požadavku. Náprava (Correction) opatření k odstranění neshody. Opatření k nápravě (Correction Action) opatření k odstranění příčiny neshody. Preventivní opatření (Preventive action) - opatření k odstranění potenciální neshody. Bezpečnostní politika (Security Policy) jsou pravidla určující systém řízení, ochrany a distribuce aktiv. Systém managementu bezpečnosti informací 16

Údržba a zlepšování ISMS Bezpečnostní událost (Security Event) je identifikovaný stav systému, služby nebo sítě, ukazující na možnost porušení bezpečnostní politiky nebo selhání bezpečnostních opatření. Bezpečnostní incident (Security Incident) je pojem označující nějakou nestandardní či nepříjemnou bezpečnostní událost, která vede k narušení pravidel bezpečnosti v organizaci. Řízení kontinuity organizace (Business Continuity Management) BCM je aktivita úzce spojená a podřízená podnikání, která může poskytnout strategický a provozní rámec pro pohled na způsob, jakým organizace poskytuje svoje produkty a služby a jak je při tom odolná proti jejich zničení, narušení nebo ztrátě. Systém řízení kontinuity organizace (Business Continuity Management System) BCMS je řídící proces podporovaný vedením společnosti, který identifikuje potenciální dopady ztrát a jehož cílem je vytvořit takové postupy a prostředí, které umožní zajistit kontinuitu a obnovu klíčových procesů a činností organizace, na předem stanovené minimální úrovni, v případě jejich narušení nebo ztráty. [dle normy BS 25999-1] Systém managementu bezpečnosti informací 17

Přehled dokumentace ISMS Systém managementu bezpečnosti informací 18

Rekapitulace kroků zavedení ISMS Interní audit Přezkoumání ISMS Rozsah ISMS Politika ISMS Školení Ustavení řídících struktur Vytvoření systému záznamů Prováděcí směrnice Plán zvládání rizik Prohlášení o aplikovatelnosti Výběr opatření Hodnocení rizik Systém managementu bezpečnosti informací 19

Systém managementu bezpečnosti informací (ISMS) ISMS vychází z katalogu nejlepších praktik komerčních č organizací, který je obsažen v normě ISO/IEC 27002 (dříve ISO/IEC 17799) Norma ISO/IEC 27002 Systém managementu bezpečnosti informací 20

Základní procesy ISMS dle ITIL Systém managementu bezpečnosti informací dle ITIL 21

Výchozí axiomy bezpečnosti IS Při řešení bezpečnosti IS je třeba mít vždy na paměti následující axiomy: Neexistuje absolutně bezpečný informační systém Bezpečnost záleží především na lidech Technologie jsou jen nástroje k prosazení bezpečnosti Celková bezpečnost je určena nejslabším článkem v řetězci bezpečnostních opatření Bezpečnost je dynamický proces, který podléhá neustálému vývoji a hodnocení Bezpečnost komplikuje a znesnadňuje práci uživatele Nelze slučovat funkce výkonné a kontrolní ve všech fázích životního cyklu systému Uživatelům jsou přidělována minimální i privilegia il i nezbytná pro jejich ji práci Bezpečnost systému musí být zachována i po obnově provozu systému, která následovala po selhání nebo havárii Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 22

Projektování informační bezpečnosti Bezpečnostní požadavky musí být, stejně jako funkční požadavky, nedílnou součástí řešení každého informačního systému Analýza rizik Bezpečnostní politika Více př přesnosti Požadavky Bezpečnostní projekt Více abstrak rakce Bezpečnostní funkce Provozní dokumentace Mechanismy Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 23

Bezpečnostní projekt Úkolem bezpečnostního projektu je praktická implementace bezpečnostní politiky v prostředí dané organizace. Bezpečnostní projekt představuje konkrétní bezpečnostní požadavky v konkrétní oblasti (např. pro fyzickou ochranu objektu je to zabezpečení vstupu). Dělení bezpečnostních projektů (dle zákona č. 119/2007 Sb. o ochraně utajovaných skutečností a bezpečnostní způsobilosti) do skupin: - administrativní - personální - technická - objektová - bezpečnost informačních systémů - kryptografická ochrana informací Výstupy bezpečnostního projektu: - organizační č a administrativní i ti opatření í(dokumentace a krizové ki plány) - technická a technologická opatření (HW, SW, pracovní postupy,...) Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 24

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář