Politika informacn bezpecnosti

Podobné dokumenty
Projekt implementace ISMS Dodatek 1, PDCA

Prklad dokumentov e z akladny ISMS

Rzen informacn bezpecnosti v organizaci

Rzen informacn bezpecnosti v organizaci

Projekt implementace ISMS

Audit (prezkoum av an) bezpecnostnch opatren, politik, syst em u,...

Prklady opatren, zranitelnost a hrozeb

Projekt implementace ISMS

Politika informacn bezpecnosti, Dodatek

Rzen reakc na bezpecnostn incidenty

Audit (prezkoum av an) bezpecnostnch opatren, politik, syst em u,...

GPDR, General Data Protection Regulation

Projekt implementace ISMS, Dodatek 2, Pozn amky k projektov emu rzen

Distribuovan e algoritmy

Politika informacn bezpecnosti, Dodatek

projektu implementace ISMS

Uvod, celkov y prehled problematiky

Uvod, celkov y prehled problematiky

Aplikacn bezpecnost. Informacn bezpecnost z pohledu aplikacnch syst em u. PV 017 Bezpecnost informacnch technologi

Sekven cn soubory. PV 062 Organizace soubor u. Jan Staudek Verze : jaro 2018

Aplikacn bezpecnost. PV 017 Bezpecnost informacnch technologi. Jan Staudek Verze : podzim 2017

Krit eria hodnocen informacn bezpecnosti

Rzen rizik. PV 017 Bezpecnost informacnch technologi. Jan Staudek Verze : podzim 2018

ISMS { Syst em rzen informacn bezpecnosti

Obnova transakc po v ypadku

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

Projekt implementace ISMS Dodatek 4, Prklad politiky ISMS

Anatomie informacn bezpecnosti

Krit eria hodnocen informacn bezpecnosti, dodatek

ISMS { Syst em rzen informacn bezpecnosti

N avrh a pouzit metrik informacn bezpecnosti, m eren v ISMS

Podsyst em vstupu a v ystupu

Pl anu zachov an kontinuity podnik an,

Koncept informacn bezpecnosti

Pl anu zachov an kontinuity podnik an,

Vl akna. PB 152 Operacn syst emy. Jan ÐStaudek Verze : jaro 2015

N avrh a pouzit metrik informacn bezpecnosti, m eren v ISMS

Koncept informacn bezpecnosti

Soubor, souborov e organizace

Obnova transakc po v ypadku

B azov y fenom en pri zajist'ov an bezpecnosti { riziko

ISO/IEC 27002:2013. PV 017 Bezpecnost IT. ISO/IEC 27002:2013, Oddly kategori bezpecnosti. ISO/IEC 27002:2013, Popis kategori bezpecnosti

PV 017 Bezpecnost IT

Standardy (normy) a legislativa informacn bezpecnosti

Koncept informacn bezpecnosti II

Standardy (normy) a legislativa. informacn bezpecnosti. Standardy (normy) a legislativa. PV 017 Bezpecnost IT

Hasov an (hashing) na vn ejsch pam etech

Spr ava hlavn pam eti

Poctacov e syst emy { prehled

Operacn syst emy { prehled

Spr ava hlavn pam eti

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

Standardy (normy) a legislativa informacn bezpecnosti

Vl akna. Proces a vl akna. PB 152 Operacn syst emy. Resen editoru pomoc vl aken. Koncept sekvencnho procesu m uze b yt neefektivn

Operacn syst emy { prehled

Standardy (normy) a legislativa. informacn bezpecnosti. Standardy (normy) a legislativa. PV 017 Bezpecnost IT

Procesy. PB 152 Operacn syst emy. Jan Staudek Verze : jaro 2017

Standardy a definice pojmů bezpečnosti informací

Podsyst em vstupu a v ystupu

Soubor, souborov e organizace

Procesy. Uvodem k proces um. PB 152 Operacn syst emy. Program a proces. Uvodem k proces um

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

Prepn an, switching. Propojovac probl em. PV 169 Z aklady prenosu dat. Prepnac, prepnan a st' Metody prepn an

Standardy (normy) a legislativa. informacn bezpecnosti. Standardy (normy) a legislativa. PV 017 Bezpecnost IT

Volba v udce, Leader Election

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Management informační bezpečnosti

Volba v udce, Leader Election

Bezs n urov a telefonie, DECT

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

ČESKÁ TECHNICKÁ NORMA

V Brně dne 10. a

ČESKÁ TECHNICKÁ NORMA

Soubor, souborov e organizace

Bezpečnostní politika společnosti synlab czech s.r.o.

Hierarchick e indexy, B / B+ stromy, tries

Státní pokladna. Centrum sdílených služeb

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

Distribuovan e prostred, cas a stav v distribuovan em prostred

Informacn teorie. PV 062 Organizace soubor u. Jan Staudek Verze : jaro 2018

Č ástka 4 V Praze dne 31. prosince 2001 Cena Kč 25,- OBSAH:

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Pl anov an. PB 152 Operacn syst emy. Jan Staudek Verze : jaro 2017

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Distribuovan e prostred, cas a stav v distribuovan em prostred

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

Hierarchick e indexy, B / B+ stromy, tries

Hierarchick e indexy, B / B+ stromy, tries

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

V Brně dne a

RiJ ŘÍZENÍ JAKOSTI L 1 1-2

Představení normy ČSN ISO/IEC Management služeb

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Typologie, funkcn skladby a architektury OS

Souborov e syst emy { koncepty a rozhran

Systém řízení informační bezpečnosti (ISMS)

Vazba na Cobit 5

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

Transkript:

Politika Politika informacn bezpecnosti PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2019 Politika { pravidla rdic dosazen cl u urcen ymi zp usoby A policy is a deliberate system of principles to guide decisions and achieve rational outcomes. A policy is a statement of intent, and is implemented as a procedure or protocol. Politika organizace prohl asen o celkov em z ameru a smeru podnik an form alne vyj adren e vedenm organizace Organizace m uze mt radu politik, jednu pro kazdou z oblast cinnosti, kter e jsou pro organizaci d ulezit e. { Person aln politika { Politika nancnch tok u, Cash flow policy { Politika p usoben v trznm prostred { Soci aln politika... Nekter e politiky jsou navz ajem nez avisl e, jin e politiky maj hierarchick y vztah nebo se dopl nuj Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 1 Shrnut Typov a struktura dokumentu politiky 1 nebo 2 prehledov e vety Uvod strucn e vysvetlen d uvod u zaveden politiky Oblast popisuje ty c asti nebo cinnosti organizace, kter e jsou ovlivneny politikou. prpadne se odkazuj dals politiky, kter e jsou danou politikou podporov any Cle podrobn y popis z ameru politiky Pravidla, z asady Typov a struktura dokumentu politiky pravidla t ykajc se akc a rozhodnut k dosazen cl u. pokud je uzitecn e identikovat klcov e procesy souvisejc s t ematem politiky a pak i pravidla pro provozov an techto proces u Odpov ednosti kdo je odpovedn y za opatren (procedury, protokoly,... ), kter ymi se pln pozadavky t eto politiky. prp, i popis organizacn struktury a odpovednost osob s urcen ymi rolemi Klcov e v ystupy co pro podnik an dosazen v ysledk u politiky prinese Souvisejc politiky Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 2 Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 3

Hierarchie bezpecnostnch politik Pro oblasti bezpecnosti organizace maj b yt politiky organizov any hierarchicky na nejvyss urovni je bezpecnostn politika organizace souhrn bezpecnostnch z asad a predpis u, mnozina pravidel denujcch spr avu a ochranu aktiv organizace denuje zp usob zabezpecen organizace jako celku od fyzick e ostrahy, pres ochranu soukrom, pres bezpecn e plnen cl u cinnosti organizace az po ochranu lidsk ych pr av bezpecnostn politika organizace je podporov ana radou dalsch specick ych politik, mj. napr. politikou informacn bezpecnosti, z asady, pravidla zajisten InfSec politikou ISMS, z asady, pravidla chov an ISMS politikou uchov an kontinuity cinnosti, Business Continuity Plan... Politika informacn bezpecnosti a politika ISMS Politka InfSec { co proti cemu chr anit Politika ISMS { jak navrhovat, vyvjet, provozovat a hodnotit procesy plnc politiku InfSec Politika InfSec b yv a podporov ana radou detailnch politik na konkr etnch aspekty informacn bezpecnosti (rzen prstupu, e-mailu, cist eho stolu, pouzv an st'ov ych sluzeb,... ) ISO / IEC 27001 (standard ISMS) z ad a, aby organizace mela jak politiku ISMS tak i politiku informacn bezpecnosti. konkr etn vztah mezi temito politikami nestanovuje, politiku ISMS z ad a ISO / IEC 27001, politiku InfSec ISO / IEC 27002 Obe mohou b yt vytvoreny jako dopl nujc se politiky, politika ISMS m uze b yt podrzena politice InfSec nebo politika InfSec m uze b yt podrzena politice ISMS. Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 4 Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 5 Politika informacn bezpecnosti (IT Security Policy) souhrn bezpecnostnch z asad a predpis u pro ochranu informacnch aktiv politika se b ezn e vyjadruje neform aln e, v prirozen em jazyce standardizovan a hodnocen informacn bezpecnosti budou IT syst emy s neform alne vyj adrenou politikou informacn bezpecnosti hodnotit jako syst emy s nzkou urovn z aruky d uveryhodnosti politiky vyss urove n z aruky za d uv eryhodnost politiky poskytuje jej semi-form aln vyj adren zv ysen urovne d uveryhodnosti nelze dos ahnout pouzitm silnejsch bezpecnostnch mechanism u a/nebo bohats sk alou opatren vyjmecn e lze pouzt i form aln logicko{matematick e jazyky pro vyj adren politiky (pro omezen a prostred a syst emy) pak lze dos ahnout az vysok e urovne d uveryhodnosti Politika informacn bezpecnosti (IT Security Policy) m a vyhovovat celkov e bezpecnostn politice organizace denuje bezpecn e pouzv an IT v r amci organizace stanovuje koncepci informacn bezpecnosti organizace v horizontu 5-10 let stanovuje co jsou citliv a informacn aktiva, jejich klasikaci a odpov ednosti za jejich stav stanovuje bezpecnostn infrastrukturu organizace nutn a je nez avislost v ykonn ych a kontrolnch rol denuje trdu (slu) utocnk u, v uci kter ym se informace organizace zabezpecuj je nez avisl a na konkr etne pouzit ych IT Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 6 Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 7

Bezpecnostn politika syst emu zpracov an informac tak e bezpecnostn politika IS, syst emov a bezp. politika,... podle ISO/IEC 27000 { Pl an zvl ad an rizik detailn normy, pravidla, praktiky, predpisy konkr etne denujc zp usob spr avy, ochrany, distribuce citliv e informace a jin ych IT zdroj u v oblasti vymezen e syst emem pro zpracov an informac organizace specikace bezpecnostnch opatren, zp usobu jejich implementace a urcen zp usob u jejich pouzit zarucujcch primerenou bezpecnost mus spl novat politiku informacn bezpecnosti organizace mus respektovat konkr etne pouzit e IT urcuje zp usob zabezpecen informac v dan em syst emu v horizontu 2{5 let, tj. denuje { konkr etn cle { co se proti cemu chr an { konkr etn opatren { pouzit e mechanismy pro implementaci opatren { obsahuje havarijn pl an a pl any cinnosti po utocch Tvorba politiky informacn bezpecnosti Denice politik InfSec a ISMS je 1. krok pri budov an ISMS Tvorba politiky je obvykle iterativn proces n aln verze politiky mus odr azet v ysledek ohodnocen rizik dan y obsahem prohl asen o aplikovatelnosti (specikace vhodn ych opatren) { dokument vznikl y jak v ysledek ohodnocen rizik politika je konceptu aln dokument, kter y m a respektovat charakteristiky cinnost, lokalit a aktiv organizace a technologi pouzit ych organizac pro zpracov an informac denovat syst em stanoven cl u a strategi rzen organizace a rizik ustanovit kontext, ve kter em bude p usobit ustanovit krit eria pro evaluaci rizik a strukturu procesu hodocen rizik politika mus b yt schv alen a vedenm organizace pravidelne prezkoum avan a (napr. rocne) a aktualizovan a Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 8 Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 9 Shrnut Politika cinnosti organizace deklaruje, ze vesker a informacn aktiva obsazen a v oblasti p usobnosti t eto politiky InfSec mus b yt b yt vzdy chr anen a proti kompromitaci, proti neautorizovan e zmene jejich integrity a proti omezen jejich dostupnosti, a to bez ohledu na jejich formu, a na to zda jsou sdlen a, sdelen a nebo skladovan a Uvod Informace se mohou vyskytovat ve vce form ach: mohou b yt vytisten e nebo napsan e na papre, ulozen e v elektronick e podobe, pren asen e postou nebo pomoc elektronick ych prostredk u, zobrazen e na lmy, nebo recen e v rozhovoru. Informacn bezpecnost se rozum ochrana informac pred sirokou sk alou hrozeb s clem zajisten kontinuity cinnosti organizace, minimalizace podnikatelsk ych rizik a maximalizace n avratnosti investic a obchodnch prlezitost Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 10 Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 11

Oblast Tato politika podporuje politiku bezpecnosti organizace Vztahuje na celou organizaci Cle Zvl adaj se strategick a a provozn rizika informacn bezpecnosti tak, aby byla pro organizaci akceptovateln a Chr an se d uvernost informac o z akazncch, vyvjen ych produktech a marketingov ych pl anech Zajist'uje se integrita protokolov ych z aznam u o cinnostech Verejn e webov e sluzby a sluzby vnitrnch st vyhovuj stanoven emu standardu dostupnosti Pravidla Organizace toleruje informacn rizika, kter a nemus b yt tolerov ana v konzervativne rzen ych organizac, za predpokladu, ze se jim rozum, monitoruj se a v prpade potreby se zvl adaj. Podrobnosti ohodnocov an rizik a zvl ad an rizik se nach azej v politice ISMS. Vsichni zamestnanci jsou vedom a odpovedn za informacn bezpecnost v mre relevantn jejich pracovnmu zarazen Zajist'uje se nancov an opatren informacn bezpecnosti v provoznch a projekcnch procesech Pri celkov em rzen informacnch syst em u se bere do uvahy moznost podvod u zneuzitm informacnch syst em u Vyd avaj se zpr avy o stavu informacn bezpecnosti Sleduj se rizika informacn bezpecnosti a pokud riziko nen akceptovateln e, spoust se odpovdajc akce clen e na zv ysen efektivnosti ochran (inovace opatren, inovace ISMS apod.) Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 12 Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 13 Krit eria pro klasikaci rizik a prijatelnost rizik stanovuje politika ISMS Netoleruj se situace, kter e by mohly v est k rozporu s pr avem ci s predpisy Odpov ednosti Nejvyss management je zodpovedn y za to, ze informacn bezpecnost je dostatecne resena v r amci cel e organizace. Kazd y z nejvyssch manazer u je odpovedn y za to, ze mu podrzen lid e, chr an informace v souladu se standardy organizace. S ef bezpecnosti rad vrcholov ym manazer um, poskytuje odbornou podporu zamestnanc um organizace a zajist'uje vypracov av an zpr avy o stavu informacn bezpecnosti Kazd y zamestnanec pri plnen pracovnch povinnosti relevantne odpovd a za informacn bezpecnost Klcov e v ystupy Incidenty v oblasti informacn bezpecnosti nezp usob v azn e a necekan e skody a/nebo nebudou v azn ym narusenm sluzeb a podnikatelsk ych aktivit. Skody vznikl e podvody zneuzitm informacnch syst em u budou v akceptovateln ych mezch. Z akaznci nebudou neprznive ovlivneni obavami o informacn bezpecnost Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 14 Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 15

Souvisejc politiky Politika syst emu rzen informacn bezpecnosti (ISMS) Politika rzen prstupu Politika cist eho stolu a displeje Politika pouzv an neautorizovan eho software Politika v oblasti zsk av an soubor u software bud' prostrednictvm externch st nebo prmo z techto st Politika z alohov an Politika v ymeny informac mezi organizacemi Politika mozn eho vyuzv an elektronick ych komunikacnch zarzen Politika vyuzv an st'ov ych sluzeb Politika pouzv an mobiln v ypocetn techniky a komunikace Politika pr ace z domova Politika pouzv an kryptograck ych opatren Politika souladu Politika licencov an softwaru Politika likvidace software Politika ochrany osobnch udaj u a soukrom Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 16 Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 17 Tvorba politiky informacn bezpecnosti, inici aln dokument Deklarace politiky informacn bezpecnosti Maxim aln rozsah { 2 az 3 strany A4 Odpovedi na klcov e ot azky { Pro koho? Kde? Co? Proc? Deklaruje vrcholov y management, podepisuje,,s ef"organizace Pro koho bude politika informacn bezpecnosti z avazn a? odpovednost za politiku (za kazdou revizi) m a vrcholov y management, mus existovat d ukaz, ze tomu tak je { z apisy z veden,... vrcholov y management / rdic v ybor mus zv azit a vymezit dopad politiky na konkr etn okruhy zamestnanc u, z akaznk u, dodavatel u,... vc. prnos u/negativ pro byznys,... vytv aren a politika m a b yt maxim alne srozumiteln a, upln a (samostatne pouziteln y dokument) a evidentn (nezpochybniteln a), aby se v pr ubehu implementace nemusely opakovane odsouhlasovat vsechny dlc alternativy politiky Tvorba politiky informacn bezpecnosti, inici aln dokument Kde bude oblast p usobnosti politiky informacn bezpecnosti? Nutno presne vymezit podle org. r adu / geogracky / funkcne /... spatne se prosazuje ITSP v oblasti, kter a nepodl eh a jednotn emu rzen mnohdy nestac jednostrann e vymezen napr. na b azi organizacn struktury ci geograck e lokality, do oblasti mus b yt zahrnuty vsechny souvisejc kritick e funkce Co politika informacn bezpecnosti chr an? specikace informacnch aktiv pokryt ych politikou specikace relevantnch rys u bezpecnosti chr anen ych aktiv (d uvernost, integrita, dostupnost,... ) stanoven krit eri pro akceptov an rizik a identikace urovne akceptovateln eho rizika Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 18 Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 19

Tvorba politiky informacn bezpecnosti, inici aln dokument Proc se politika informacn bezpecnosti zav ad? srozumiteln e vyj adren podstaty hrozeb pro organizaci srozumiteln e vyj adren v yse skod zp usoben ych narusenm bezpecnosti informac (ve nancnch i nenancnch pojmech) ilustracn prklady d usledk u incident u podporujc zaveden ISMS Deklarace politiky informacn bezpecnosti, sablona { prklad Veden organizace...... provozujc cinnost v oblasti......, umsten e v......, se rozhodlo chr anit d uvernost, integritu a dostupnost vsech sv ych relevantnch fyzick ych a elektronick ych informatick ych aktiv Clem ochran je udrzen dobr eho stavu konkurencnch v yhod, hotovostnch tok u, ziskovosti, vyhoven z akonn ym a smluvnm omezenm a zachov an dobr e povesti organizace. Cle ochran, pozadavky na informace a na bezpecnost informac budou vyhovovat cl um organizace v oblasti... stanoven ych politikou informacn bezpecnosti a jako zmoc novac mechanismus pro sdlen informac v elektronick ych operacch, pro e-komerci a pro redukci rizik v azan ych na zpracov an informac na akceptovatelnou urove n se pouzije syst em rzen informacn bezpecnosti (ISMS). Zamestnanci organizace cin v oblasti... jsou povinni plnit pozadavky bezpecnostn politiky a ISMS, kter y tuto politiku implementuje. Tot ez plat pro tret strany denovan e v ISMS. Tato politika bude prezkoum avan a alespo n jednou rocne. Odpovednost za bez uecnostn politiku a ISMS je poveren odbor.... Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 20 Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 21 Tvorba politiky informacn bezpecnosti Tak jak jsou n asledne zsk avan e dlc v ysledky z hodnocen rizik, deklarace politiky informacn bezpecnosti se m uze rozsirovat a upres novat Formulov an politiky informacn bezpecnosti Typov a sablona politiky informacn bezpecnosti pro ISMS je souc asti studijnch podklad u pro tento predmet Tvorba politiky informacn bezpecnosti Politika informacn bezpecnosti m a pokr yvat/obsahovat: prohl asen, ze veden organizace bude podporovat ISMS a periodicky prezkoum avat politiku informacn bezpecnosti n astin prstupu k rzen rizik (urcen metodiky), krit era evaluace (vyhodnocen) rizik, strukturu procesu ohodnocen rizik a kdo bude za ohodnocen rizik odpovedn y strucnou identikaci pozadavk u na soubory opatren zajist'ujcch vyhoven politice, napr. { pl an(y) reakc na incidenty, { pl an zachov an cinnost, { pl an z alohov an dat, { pl an ochran pred viry, { politika rzen prstupu, { zpravodajstv o bezpecnostnch incidentech,... pokrač. Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 22 Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 23

Tvorba politiky informacn bezpecnosti Tvorba politiky informacn bezpecnosti pokrač srozumitelnou deklaraci toho, ze pozadavky na informace a bezpecnost informac budou vyhovovat cl um organizace a ze relevantn ISMS bude predmetem trval eho vylepsov an jasn e vyj adren, ze vsichni zamestnanci budou podrobov ani skolen a tr enov an v bezpecnostnm uvedomen a specialist e budou absolvovat specializovan a skolen ide alne by ITSP mela deklarovat vyhoven standardu ISO/IEC 27002 (tj. prohl asen, ze se uplat nuj standardn opatren), prpadne by ITSP mela deklarovat cl zskat certik atu ISO/IEC 27001 (tj. certik atu, ze se uplat nuj validn procesy ISMS) N aklady na budov an politiky InfSec Veden organizace m a pozadovat dolozen n avrhu politiky { odhadem ceny vybudov an ISMS a zdroj u pro vybudov an ISMS { hodnocenm a kvantikac potenci alnch zisk u { n avrhem pl anu implementace a odpovednosti za implementaci Monitorov an postupu budov an politiky InfSec Klcov e okamziky pro prezkoum an postupu tvorby politiky jsou { vypracov an n avrhu Prohl asen o aplikovatelnosti (specikace vhodn ych opatren) v r amci ohodnocov an rizik { implementace inici aln sestavy procedur aplikujcch opatren identikovan a v Prohl asen o aplikovatelnosti { proveden prvnho auditu ISMS { n asledne pak rocne, v termnech pravideln eho prezkoum av an ISMS, urcen ych v politice informacn bezpecnosti Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 24 Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 25 XXX tip u pro tvorbu politiky informacn bezpecnosti Detailn v yklad tip u viz dodatek k t eto predn asce Bezpecnostn politika je nejefektivn ejs, kdyz si ji organizace napse sama Politika informacn bezpecnosti by m ela b yt klcov ym faktorem pri vsech rozhodnutch o cinnosti organizace, nen pravda, ze ovliv nuje cinnost pouze IT odd elen Zam estnanci mus b yt skolen pro dodrzov an bezpecnostn politiky Bezpecnostn politika nebude organizaci chr anit pred vsemi mozn ymi hrozbami. Ucinn a bezpecnostn politika je bezpecnostn politika, kter a se trvale aktualizuje a reviduje XXX tip u pro tvorbu politiky informacn bezpecnosti Bezpecnostn politika m a zahrnovat sledov an v ykonu. Co nem uzete obh ajit / dok azat u soudu, nen ani spolehliv e ani uzitecn e pro bezpecnost. Vsichni mus dodrzovat bezpecnostn politiky nebo celit d usledk um Zam estnanci potrebuj uvoln en. Bezpecnostn politika je predm etem k diskusi. Ucinnost a prijatelnost bezpecnosti jsou dva neodd eliteln e faktory. Bezpecnostn politika mus b yt jasn a, ctiv a, srozumiteln a Predpisy a dosazen souladu s nimi jsou nutn e zla Kdyz jste na pochyb ach, konzultujte standardy Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 26 Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 27

Vybran e bezpecnostn z asady Separation of duty { separace odpov ednost kontrolu (audit) spr avnosti proveden akce X nesm prov adet osoba soucasne poveren a exekutivnm v ykonem (provedenm) akce X Dual control { dublov an autorizace zprstup nov an a kongurov an syst em u vysoce citliv ych z hlediska bezpecnosti nen povolen e prov adet jedin e osobe individu alne (princip {,,mus u toho b yt alespo n dva") Mechanismy dublov an autorizace delen kryptograck ych klc u na c asti a pridelen jednotliv ych c ast osob am poveren ym relevantnmi rolemi pridelen inici alnch hodnot kryptograck ych klc u osob am poveren ym relevantnmi rolemi a vypoct an aktu aln hodnoty klce pomoc XOR jejich hodnot vyzadov an soucasn e autentizace vce osob,... Mechanismy odpov ednosti/auditu (accounting, audit) bezpecn y syst em obvykle obsahuje protokolovac podsyst em, kter y zaznamen av a vsechny ud alosti, kter e nejakou formou souvis s bezpecnost Protokolov y z aznam mus b yt odoln y proti falsov an/porusen neutorizovan ym cinitelem b ezcm v syst emu prklad zajisten: vypoct av an a dopl nov an MAC z aznam u pomoc klc u uchov avan ych v nejak em zabezpecen em syst emu Souc ast bezpecnostn politiky syst emu mus b yt predpis o form e vyhodnocov an protokolovan ych z aznam u o ud alostech, kter e n ejakou formou souvis s bezpecnost Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 28 Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 29 Management/spr ava bezpecnosti Pozadavek na spr avn e (bezpecn e) provozov an syst emu pozaduje kontinu aln prov ad en spr avy (rzen) bezpecnosti Mezi rdic ukony z hlediska bezpecnosti mj. patr zajist'ov an inovac syst emu dopl nov anm nov ych funkc bezchybn e detekov an dosud neidentikovan ych zranitelnost syst emu D ulezitou komponentou nepretrzit e spr avy je auditn cinnost zabezpecovan a rolemi nez avisl ymi na exekutiv e bezpecnosti a na navrhovatelch bezpecnostnho resen typick a n apl n cinnosti kontrolnho utvaru kontroln utvar si m uze ponechat odpovednost a v ykon auditu zajist'ovat outsourcingem Kategorizace forem spr avy bezpecnosti Spr ava chyb a z avad idnetikace chyb a z avad v aplikacnm syst emu a ve zp usobu jeho pouzv an (vc. napr. penetracnho testov an { testov an pr unik u) Rzen kongurace a zm enov e rzen administrativa zmen v aplikacnm syst emu Rzen auditu a protokolov an ud alost souvisejcch s bezpecnost audit objasnme na n asledujcch pr usvitk ach podrobneji Rzen v ykonu monitorov an a hodnocen zpracov avatelsk eho/komunikacnho v ykonu Rzen bezpecnostnho programu rzen provozu syst emu podle denovan ych procedur Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 30 Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 31

Ucel bezpecnostnho auditu Hlavn cle auditu kontrola, zda byly bezpecnostn procedury denovan e spr avne detekce neosetren ych,,bezpecnostnch der", zranitelnost nepokryt ych adekv atnmi bezpecnostnmi opatrenmi Dals smysl auditu audit procedur po narusen bezpecnost s clem zjisten jak k porusen doslo a kdo je za porusen odpovedn y Role a nez avislost auditora audit prov ad role plne nez avisl a na bezpecnostn exekutive z adn y auditor nesm soucasne pracovat jako bezpecnostn spr avce ci bezpecnostn manazer, architekt apod. (separace odpovednost) Procedury / postupy auditu se denuj jakou souc ast procedur spr avy a provozu syst emu auditor mus b yt schopn y audit vykonat bez spol eh an se na radu,,jak audit delat"od monitorovan ych entit Politiky a syst em rzen informacn bezpecnosti V etsina organizac vytv ar politiku informacn bezpecnosti podle standardu ISO/IEC 27002 Politika spr avy informacn bezpecnosti zalozen a na rzen rizik Pouzit standardu ISO/IEC 27002 byly venovan e vesmes vsechny dosavadn predn asky Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 32 Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 33 Politiky a syst em rzen informacn bezpecnosti D uv eryhodn a bezpecnostn politika zpracov an informac je z akladn k amen syst emu rzen informacn bezpecnosti (Information Security Management System, ISMS). Clem ISMS je zajistit trvalou aktu alnost politiky informacn bezpecnosti a trvalou urove n zabezpecen informac Politika ISMS je bud'to nadrazena politice informacn bezpecnosti nebo je jej prmou souc ast Standard denujc ustaven, zav aden, provozov an, monitorov an, udrzov an a zlepsov an ISMS v organizaci { ISO/IEC 27001 Pouzit standardu ISO/IEC 27001 bude venovan a n asledujc predn aska Politiky a syst em rzen informacn bezpecnosti Z akladn ideje ISMS: B azov a idea: Model Plan-Do-Check-Act, PDCA { cyklick y proces: Plan (zaveden ISMS, projekt a detailn n avrh ISMS) Do (implementace ISMS) Check (sledov an, monitorov an, meren efektivnosti ISMS) Act (denice vylepsen ISMS) Plan... podpora pochopen pozadavk u na informacn bezpecnost organizace a potreb pro stanoven politiky a cl u informacn bezpecnosti zaveden a provozov an opatren pro rzen informacn bezpecnosti v kontextu s rzenm celkov ych rizik cinnost organizace monitorov an a prezkoum an v ykonnosti a ucinnosti ISMS neust al e zlepsov an zalozen e na objektivnm meren. Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 34 Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 35

Prklad { zaclen en proces u rzen rizik cyklu PDCA ISMS Politika dle z akona o kybernetick e bezpecnosti Struktura politiky informacn bezpecnosti dle z akona o kybernetick e bezpecnosti viz dodatek k t eto predn asce Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 36 Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 37

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář