Standardy a definice pojmů bezpečnosti informací



Podobné dokumenty
PŘÍLOHA 5 SMLOUVY O PŘÍSTUPU KE KONCOVÝM ÚSEKŮM. Bezpečnost, ochrana majetku a osob

Plánování v rámci ISMS

METODICKÉ STANOVISKO

INFORMAČNÍ SYSTÉM O AREÁLU

Návrh. VYHLÁŠKA č...sb., ze dne ,

Kategorizace zákazníků

Zabezpečení cloudové infrastruktury

Informace pro provozovatele směnárenské činnosti

Příloha: Dodatečné informace, včetně přesného znění žádosti dodavatele o dodatečné informace

Všeobecné požadavky na systém analýzy nebezpe í a stanovení kritických kontrolních bod (HACCP) a podmínky pro jeho certifikaci

Příspěvky poskytované zaměstnavatelům na zaměstnávání osob se zdravotním postižením Dle zákona č. 435/2004 Sb., o zaměstnanosti, v platném znění.

účetních informací státu při přenosu účetního záznamu,

-1- N á v r h ČÁST PRVNÍ OBECNÁ USTANOVENÍ. 1 Předmět úpravy

Regulace a normy v IT IT Governance Sociotechnický útok. michal.sláma@opava.cz

Zákon o veřejných zakázkách

RPM INTERNATIONAL INC. A JEJÍ DCEŘINÉ SPOLEČNOSTI A PROVOZNÍ SPOLEČNOSTI PROHLÁŠENÍ O OCHRANĚ OSOBNÍCH ÚDAJŮ SAFE HARBOR. ÚČINNÉ OD: 12.

Analýza stavu implementace a řízení projektů SA

MV ČR, Odbor egovernmentu. Webové stránky veřejné správy - minimalizace jejich zranitelnosti a podpora bezpečnostních prvků

Zpráva o hodnocení resortních systémů centralizovaného zadávání veřejných zakázek za rok (dále jen Zpráva o hodnocení )

Pravidla. používání Národního elektronického nástroje při realizaci zadávacích postupů prostřednictvím národního elektronického nástroje

Domov pro seniory sv. Pavla, Kozlerova 791/II. Rokycany

Dokumentová úložiště vs. informační bezpečnost. Ing. Jan Bareš, CISA

Čl. 3 Poskytnutí finančních prostředků vyčleněných na rozvojový program Čl. 4 Předkládání žádostí, poskytování dotací, časové určení programu

IMPLEMENTACE SW NÁSTROJE PROCESNÍHO ŘÍZENÍ ATTIS

Česká zemědělská univerzita v Praze Fakulta provozně ekonomická. Obor veřejná správa a regionální rozvoj. Diplomová práce

Město Černošice. Příručka kvality

KOMUNITNÍ PLÁN MIKROREGIONU HRÁDECKO - CHRASTAVSKO

ČÁST TŘETÍ ŘÍDICÍ A KONTROLNÍ SYSTÉM HLAVA I POŽADAVKY NA ŘÍDICÍ A KONTROLNÍ SYSTÉM

Program rovného zacházení provozovatele distribuční soustavy Pražská plynárenská Distribuce, a.s., člen koncernu Pražská plynárenská, a.s.

ČÁST PÁTÁ POZEMKY V KATASTRU NEMOVITOSTÍ

MĚSTSKÁ ČÁST PRAHA 3 Rada městské části U S N E S E N Í

MEZINÁRODNÍ AUDITORSKÝ STANDARD ISA 505 EXTERNÍ KONFIRMACE OBSAH

eidas ... aneb co nám přináší nařízení EU č. 910/2014 ze dne Ing.Robert Piffl Poradce náměstka ministra

170/2010 Sb. VYHLÁŠKA. ze dne 21. května 2010

227/2000 Sb. ZÁKON ČÁST PRVNÍ ELEKTRONICKÝ PODPIS

Popis certifikačního postupu podle ISO/TS 16949:2009

Informace veřejného sektoru zdroj surovin pro informace a znalosti ve firmě

Ochrana spotřebitele v ČR

Odůvodnění veřejné zakázky dle 156 zákona. Odůvodnění účelnosti veřejné zakázky dle 156 odst. 1 písm. a) zákona; 2 Vyhlášky 232/2012 Sb.

32001R1788 Úřední věstník L 243, 13/09/2001, strany

ORGANIZAČNÍ ŘÁD ŠKOLNÍ VÝLETY

D o h o d a. o s o u č i n n o s t i

Odůvodnění veřejné zakázky dle 156 VZ009/2013 Modulační procesory

Obecně závazná vyhláška města Žlutice č. 2/2011 Požární řád obce

DOMOVNÍ ŘÁD BYTOVÉHO DRUŽSTVA ZÁZVORKOVA 2007, 2008, 2009

Rámcový rezortní interní protikorupční program

ZADÁVACÍ DOKUMENTACE

Postupy pro zavedení a řízení bezpečnosti informací

VÍCEÚČELOVÉHO SPORTOVNÍHO AREÁLU OBCE HŘEBEČ

Oprava střechy a drenáže, zhotovení a instalace kované mříže kostel Sv. Václava Lažany

METODICKÉ POKYNY PRO AKREDITACI

MAPA KORUPČNÍCH RIZIK CENIA (stav k datu )

OBEC HORNÍ MĚSTO Spisový řád

Knihovní řád. Středisko vědeckých informací Vysoké školy zdravotnické, o. p. s. Duškova 7, Praha 5

Odůvodnění účelnosti veřejné zakázky pro účely předběžného oznámení ( 86 odst. 2 ZVZ)

ETICKÝ KODEX VÝZKUMU V RÁMCI SLEZSKÉ UNIVERZITY V OPAVĚ

Smlouva č. VS 109/ /Práv-vz

Město Horní Bříza. Čl. 1 Úvodní ustanovení

DODATEČNÉ INFORMACE Č. 4 K ZADÁVACÍM PODMÍNKÁM VEŘEJNÉ ZAKÁZKY

Odůvodnění veřejné zakázky. Přemístění odbavení cestujících do nového terminálu Jana Kašpara výběr generálního dodavatele stavby

HODNOTÍCÍ STANDARDY pro hodnocení kvality a bezpečí poskytovatele lůžkové zdravotní péče

L 134/2 CS Úřední věstník Evropské unie

ISA 402 ZVAŽOVANÉ SKUTEČNOSTI TÝKAJÍCÍ SE SUBJEKTŮ VYUŽÍVAJÍCÍCH SLUŽEB SERVISNÍCH ORGANIZACÍ

Poskytovatel: Národní rada osob se zdravotním postižením ČR, o.s. Poradna pro uživatele sociálních služeb Děčín

O b s a h : 12. Úřední sdělení České národní banky ze dne 1. října 2001 k využívání outsourcingu bankami

Provozní řád víceúčelové a školní tělocvičny v Jilemnici

Univerzální nosič nářadí pro letní a zimní údržbu areálu

INFORMATIKA V CHOVECH PRASAT

Předmětem podnikání společnosti je:

Návrh individuálního národního projektu. Podpora procesů uznávání UNIV 2 systém

3.6 Elektronizace odvětví: sociální služby, pojištění, dávky, sociálně- právní ochrana dětí

Pokyn D Sdělení Ministerstva financí k rozsahu dokumentace způsobu tvorby cen mezi spojenými osobami

Zaměstnání a podnikání, hrubá a čistá mzda.

P O K Y N. ředitele odboru interního auditu a kontroly

Č.j. S056/2008/VZ-03935/2008/520/EM V Brně dne 7. března 2008

Jak se řídí IT VÁCLAV ŠPÁŇA V A C L A S P A N A. C Z

Miroslav Kunt. Srovnávací přehled terminologie archivních standardů ISAD(G), ISAAR(CPF) a české archivní legislativy

SMLOUVA O PROPOJENÍ (dále jen "Smlouva") číslo

Výzva k podání nabídky na

Tento projekt je spolufinancován. a státním rozpočtem

Definice, metody měření a výpočtu

Steinbrenerova 6, VIMPERK. odbor výstavby a územního plánování Ú Z E M N Í R O Z H O D N U T Í

VŠEOBECNÉ PODMÍNKY PRO POSKYTOVÁNÍ VEŘEJNĚ DOSTUPNÝCH SLUŽEB ELEKTRONICKÝCH KOMUNIKACÍ PROSTŘEDNICTVÍM VEŘEJNÝCH TELEFONNÍCH AUTOMATŮ

PŘÍRUČKA K PŘEDKLÁDÁNÍ PRŮBĚŽNÝCH ZPRÁV, ZPRÁV O ČERPÁNÍ ROZPOČTU A ZÁVĚREČNÝCH ZPRÁV PROJEKTŮ PODPOŘENÝCH Z PROGRAMU BETA

Úřední věstník Evropské unie. NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (ES) č. 261/2004. ze dne 11. února 2004,

MĚSTO BROUMOV třída Masarykova 239, Broumov

1. Informace o předmětu zakázky Stručný textový popis zakázky, technická specifikace

Příručka pro klienty, Poskytování služeb v oblasti norem a právních předpisů. Institut pro testování a certifikaci, a.s.

ETICKÝ KODEX ZAMĚSTNANCE

Metodika pro nákup kancelářské výpočetní techniky

k požadavkům normy ČSN EN ISO 9001:2001

POUČENÍ o registrech Sdružení SOLUS

ZADÁVACÍ DOKUMENTACE 1) Identifikace zadavatele 2) P esné vymezení p edm tu zakázky a požadavk zadavatele

Obchodní podmínky PRESPLAST s.r.o.

PŘÍLOHA 1.6 SMLOUVY O PŘÍSTUPU K VEŘEJNÉ PEVNÉ KOMUNIKAČNÍ SÍTI LOGISTIKA KONCOVÝCH ZAŘÍZENÍ

Protokol o atestačním řízení

- 1 - Návrh. ZÁKON ze dne 2004, o elektronických komunikacích a o změně dalších zákonů (zákon o elektronických komunikacích)

KVALIFIKAČNÍ DOKUMENTACE k veřejné zakázce zadávané podle zákona č. 137/2006 Sb., o veřejných zakázkách, ve znění pozdějších předpisů

Bezpečnost práce při provozování silniční dopravy

Všeobecné podmínky provozu sběrných míst kolektivního systému Eltma

Transkript:

Standardy a definice pojmů bezpečnosti informací Robert Gogela, CISA, CISM Lidská společnost se snaží na vše vytvořit normy a potom trestat ty, kdo normy porušují. Nikdo již ale nekontroluje, zda nám normy vyhovují a zda odpovídají situaci, ve které se nacházíme. Normální je normy dodržovat, proč ale lidé neustále normy porušují? Je to snad tím, že lidé nejsou normální, nebo je to tím, že normy nejsou normální a neodpovídají situaci? Často dochází k tomu, že ten, kdo normy vytváří, je tvoří tak, aby vyhovovaly jemu, a je mu jedno, že nevyhovují druhým lidem! Vít Kouba 1 Standardy bezpečnosti informací 1.1 Mezinárodní normy ISMS řady ISO/IEC 27xxx 1.1.1 Normy vydané ÚNMZ v českém jazyce ČSN ISO/IEC 27000:2010 Informační technologie - Bezpečnostní techniky - Systémy řízení bezpečnosti informací - Přehled a slovník ČSN ISO/IEC 27001:2006 Informační technologie - Bezpečnostní techniky - Systémy managementu bezpečnosti informací Požadavky ČSN ISO/IEC 17799:2006 (oprava označení na ISO/IEC 27002 vydána UNMZ v roce 2008) Informační technologie - Bezpečnostní techniky - Soubor postupů pro management bezpečnosti informací ČSN ISO/IEC 27004:2011 Informační technologie - Bezpečnostní techniky - Řízení bezpečnosti informací - Měření ČSN ISO/IEC 27005:2009 Informační technologie - Bezpečnostní techniky - Řízení rizik bezpečnosti informací ČSN ISO/IEC 27006:2008 Informační technologie - Bezpečnostní techniky - Požadavky na orgány provádějící audit a certifikaci systémů řízení bezpečnosti informací ČSN EN ISO 27799:2010 Zdravotnická informatika - Systémy řízení bezpečnosti informací ve zdravotnictví využívající ISO/IEC 27002 1.1.2 Další normy vydané v angličtině ISO/IEC 27011:2008 Information technology Security techniques Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 ISO/IEC 27031:2011 Information technology Security techniques Guidelines for information and communications technology readiness for business continuity 1

ISO/IEC 27033-1:2009 Information technology Security techniques Network security overview and concepts ISO/IEC 27035:2011 Information technology Security techniques Information security incident management 1.2 Standardy používané v USA Federal Information Security Management Act of 2002 ( FISMA ) Federální zákon o managementu bezpečnosti informací. Vyžaduje, aby každý federální úřad zavedl program bezpečnosti informací a informačních systémů, včetně služeb poskytovaných nebo řízených jiným úřadem nebo dodavatelem. FIPS PUB 199 Standardy pro kategorizaci bezpečnosti federálních informací a informačních systémů FIPS PUB 200 Minimální požadavky na bezpečnost federálních informací a informačních systémů NIST Special Publications 800 series (NIST SP 800 series) Příručky pro posuzování, výběr a implementaci bezpečnostních opatření v informačních systémech a ICT technologiích Zdroje: http://csrc.nist.gov/publications/pubssps.html 1.3 Standardy používané ve Spolkové republice Německo BSI Standard 100-1: Information Security Management Systems (ISMS) BSI-Standard 100-2: IT-Grundschutz Methodology BSI-Standard 100-3: Risk Analysis based on IT-Grundschutz BSI-Standard 100-4: Business Continuity Management Zdroje: https://www.bsi.bund.de/en/publications/bsistandards/bsistandards_node.html 2 Definice pojmů bezpečnosti informací Kapitola si klade za cíl seznámit čtenáře se základními a často používanými pojmy bezpečnosti informací, na jejichž významu a obsahu se nezřídka nedokáže shodnout ani odborná veřejnost. 2.1 Základní pojmy Aktivum (Asset) je cokoliv, co má pro organizaci hodnotu. Bezpečnost informací (Information security) je ochrana důvěrnosti, integrity a dostupnosti informací. Dostupnost (Availability) je zajištění toho, že informace a s nimi spojená aktiva jsou uživatelům přístupná v době, kdy je požadují. Dopad (Impact) je výsledek nežádoucího incidentu. Důvěrnost (Confidentiality) je zajištění toho, že informace je přístupná jen těm, kteří jsou oprávněni k ní mít přístup. 2

Hodnocení rizik (Risk assessment) je posouzení pravděpodobnosti selhání bezpečnosti, které by se mohlo vyskytnout působením hrozeb a zranitelností a dopady na konkrétní aktiva. Hodnocení aktiv (Asset assessment) je stanovení hodnoty aktiva v závislosti na posouzení dopadů na činnost organizace, které by mohly vyplynout ztráty důvěrnosti, integrity nebo dostupnosti aktiv. Hrozba (Threat) je potenciální příčina nežádoucího incidentu, který může mít za následek poškození systému nebo organizace. Identifikace aktiva (Asset identification) je proces, který předchází vytvoření seznamu aktiv a určení vlastníka daného aktiva. Informace (informační aktiva) jsou výsledné, tj. vybrané či jinak zpracované údaje (data), prezentované ve formě snadno čitelné, pochopitelné a využitelné subjektem, jemuž jsou určeny. Mohou být v elektronické formě nebo napsané (vytištěné) v listinné formě, vyřčené při jednání nebo zaznamenané na jiném médiu. Integrita (Integrity) je zabezpečení přesnosti a kompletnosti informace a metod jejího zpracování. Riziko (Risk) je potenciální možnost, že daná hrozba způsobí poškození nebo zničení aktiv. Redukované riziko je riziko, kterému bude organizace čelit po implementaci všech opatření pro snížení rizik, vyplývající z analýzy rizik. Vlastník aktiva je jednotlivec, jemuž byla vedením přidělena odpovědnost za produkci, vývoj, údržbu, použití a bezpečnost aktiv; neznamená to však, že by byl jejich skutečným vlastníkem a měl k nim vlastnická práva. Zranitelnost (Vulnerability) je slabé místo aktiva nebo skupiny aktiv, které může být využito jednou nebo více hrozbami. Hrozby Zranitelnosti Aktiva Dopady Základní pojmy bezpečnosti informací 3

2.2 Přiměřená úroveň bezpečnosti Zajištění bezpečnosti není hledáním dokonalého způsobu ochrany, ale aplikací takových opatření, která jsou přiměřená hodnotě předmětu ochrany (aktiv). Primárním předmětem ochrany jsou informace (nikoliv jejich nosiče nebo prostředky pro zpracování). Čím větší hodnotu pro nás informace mají, tím větší pozornost musíme věnovat bezpečnosti jejich nosičů. Každá organizace by si proto měla provádět alespoň základní hodnocení a kategorizaci svých informací a tomu přizpůsobit i způsob jejich ochrany. Zvažování rizik a opatření (analýza nákladů a přínosů) Velikost úsilí a investic do bezpečnosti musí odpovídat hodnotě aktiv a míře možných rizik. Změny v procesech organizace při zavádění ISMS a při aplikaci opatření v ICT systémech musí dostatečně redukovat dopady možných rizik za akceptovatelných nákladů. 2.3 Procesy řízení bezpečnosti informací Pro snazší pochopení základních procesů řízení bezpečnosti informací použijeme následující schéma, které vychází z ITIL (Information Technology Infrastructure Library). Cíle a požadavky Bezpečnostní politika Analýza rizik Plánování opatření Provoz opatření Monitorování a audity Základní procesy řízení bezpečnosti informací dle ITIL 4

Na základní procesy uvedené ve schématu provedeme mapování požadavků a povinné dokumentace ISMS podle normy ISO/IEC 27001. 2.3.1 Bezpečnostní politika Deklarace cílů a požadavků na úroveň bezpečnosti v organizaci a stanovení rámce co, kdo a jakým způsobem se má dosáhnout. Rozsah ISMS [ISO/IEC 27001-4.2.1 a)] Politika ISMS [ISO/IEC 27001-4.2.1 b)] 2.3.2 Analýza rizik Identifikace a hodnocení aktiv jejich vlastníky, identifikace a hodnocení hrozeb, zranitelností a dopadů na aktiva (ztráta důvěrnosti, integrity a/nebo dostupnosti). Metodika hodnocení rizik [ISO/IEC 27001-4.2.1 c)] Zprávy o hodnocení rizik [ISO/IEC 27001-4.2.1 d) g)] 2.3.3 Plánování opatření Souhrn rozhodnutí, jakým způsobem bude naloženo s identifikovanými riziky. Vymezení odpovídajících činností, zdrojů, odpovědností a priorit pro zvládání rizik bezpečnosti informací. Prohlášení o aplikovatelnosti [ISO/IEC 27001-4.2.1 j)] Plán zvládání rizik [ISO/IEC 27001-4.2.2 a) b)] 2.3.4 Provoz opatření Popis toho, jakým způsobem provádět zavedená opatření. Souhrn všech záznamů, které poskytují objektivní důkaz o provozování zavedeného ISMS (typicky systémy pro správu úkolů a schvalování). Dokumentované postupy opatření (směrnice) [ISO/IEC 27001-4.2.2 c)] Záznamy (listinné i elektronické) [ISO/IEC 27001-4.3.3, 5] 2.3.5 Monitorování a audity Pravidelná přezkoumávání účinnosti opatření s ohledem na výsledky bezpečnostních auditů, incidentů, výsledků měření účinnosti opatření, návrhů a podnětů všech zainteresovaných stran. Zprávy z interních auditů [ISO/IEC 27001-6] Přezkoumání ISMS vedením organizace [ISO/IEC 27001-7] Nápravná a preventivní opatření [ISO/IEC 27001-8] 5

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář