Dodatek predn asky Rzen informacn bezpecnosti v organizaci Dodatek PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Oblasti rzen ovlivn en e prosazov anm informacn bezpecnosti a prehled odpov ednost a cinnost managementu organizace: Verze : podzim 2019 Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpovednosti 1 Dosazen souladu strategi organizace { koncept Mus se dos ahnout sladen strategie informacn bezpecnosti s celkovou strategi cinnost organizace tak, aby informacn bezpecnost podporovala dosahov an cl u organizace, ne vce, ne m ene prijat a bezpecnostn opatren mus pokr yvat bezpecnostn potreby organizace v oblasti informacn bezpecnosti mus b yt urceny role a stanoveny jejich povinnosti a pravomoci pro navrhov an, schvalov an, prosazov an a kontrolu informacn bezpecnosti bezpecnostn resen mus b yt vybran a a implementovan a s respektem ke st avajcm proces um a pouzvan ym technologim, remn kulture a organizacn strukture investice do informacn bezpecnosti mus b yt prov aden e v souladu se strategi cinnost organizace tak, aby resily adekv atn pokryt identikovan ych rizik Dosazen souladu strategi { povinnosti na úrovních řízení Spr avn rada Vyzaduje prokazatelnost dosazen souladu vsech strategi organizace (prokazov an typicky d ukazy dodan ymi auditn zpr avou) V ykonn y management Ustanovuje procesy nutn e k propojen informacn bezpecnosti a cl u organizace Rdic v ybor (informacn bezpecnosti) Prezkoum av a a podporuje strategie informacn bezpecnosti a usiluje o jejich integraci Zajist'uje, aby management podporoval integraci informacn bezpecnosti do strategi organizace Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpovednosti 2 Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpovednosti 3
Dosazen souladu strategi { povinnosti na úrovních řízení CISO, Chief of Information Security Ocer Vytv ar strategii dosahov an informacn bezpecnosti ( politiku informacn bezpecnosti) Dohlz na plnen bezpecnostnho programu ( na prosazov an politiky informacn bezpecnosti) Komunikuje s manazery a vlastnky organizace pro zajisten trval eho souladu strategi Audit Vyhodnocuje dosazen y soulad strategi a o v ysledku pod av a auditn zpr avu { koncept Rzen a realizace opatren pro zmrnen rizik resp. snzen potenci alnch dopad u na aktiva organizace na akceptovatelnou urove n Veden organizace mus vyj adrit z ajem o resen rizik a urcit v souladu s cli organizace urove n tolerance rizik V organizaci mus b yt zn am e zranitelnosti, hrozby a rizika ohrozujc aktiva a dosazen cl u Management mus porozumet rizik um, kter ym je organizace vystavena, a dopad um, kter e mohou nastat Management mus stanovit zp usoby rzen rizik vc. priorit, s jak ymi budou rizika zvl adan a nebo akceptovan a Mus b yt zaveden y proces rzen rizik pokr yvajc zejm ena anal yzu rizik, vyhodnocov an rizik, anal yzy trend u a zvl ad an rizik navrhov anm opatren pro zmrnen rizik Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpovednosti 4 Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpovednosti 5 { povinnosti na úrovních řízení Spr avn rada Urcuje politiku rzen rizik, urove n tolerance rizik a garantuje regulatorn soulad (soulad s legislativou, smlouvami,... ) V ykonn y management Zajist'uje role a odpovednosti vc. rzen rizik vsech cinnost Monitoruje dodrzov an regulatornho souladu Identikuje nov a rizika Podporuje bezpecnostn praktiky organizacnch jednotek a identikuje ot azky/probl emy v dodrzov an jejich souladu { povinnosti na úrovních řízení CISO, Chief of Information Security Ocer Zajist'uje, ze se prov ad hodnocen rizik a dopad u informacnch aktiv Vytv ar strategii pro zmrnen rizik ( politiku informacn bezpecnosti) Prosazuje tuto politiku a regulatorn soulad Audit Vyhodnocuje rzen rizik a pod av a o v ysledku zpr avy Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpovednosti 6 Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpovednosti 7
{ koncept Optimalizace investic do informacn bezpecnosti potrebn e pro podporu dosahov an cl u organizace Mus b yt vytvorena standardn sada bezpecnostnch praktik tvorc z akladn urove n bezpecnosti a primerene pokr yvajc rizika Usil mus b yt vhodne rozdelovan e tak, aby prim arne byla zvl adan a nejvyss rizika Bezpecnostn opatren mus b yt vhodne standardizovan a s ohledem na efektivn spotrebu zdroj u dostupn ych pro zajist'ov an bezpecnosti Vsichni v organizaci mus ch apat informacn bezpecnost jako trval y proces, nikoli jako jednor azovou akci Bezpecnostn resen mus b yt zav adena tak, aby i pri spotrebe zdroj u prin asela pridanou hodnotu a prspvala k plnen cl u organizace { povinnosti na úrovních řízení Spr avn rada Vyzaduje zpr avy o n akladech a prnosech bezpecnostnch aktivit a ochrany aktiv V ykonn y management Analyzuje konkr etn prpadov e studie bezpecnostnch resen Prezkoum av a a doporucuje adekv atn bezpecnostn kroky podporujc ostatn cinnosti organizace Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpovednosti 8 Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpovednosti 9 { povinnosti na úrovních řízení CISO, Chief of Information Security Ocer Monitoruje vyuzv an a efektivitu zdroj u na informacn bezpecnost Audit Vyhodnocuje efektivitu a v ykonnost bezpecnostnch opatren a pod av a o v ysledku zpr avy { koncept Clem je ucinn e a uceln e vyuzv an bezpecnostnch znalost, infrastruktury a zdroj u organizace Nabyt e a osvojen e bezpecnostn znalosti mus b yt dostupn e a chr anen e Bezpecnostn procesy a aktivity mus b yt vhodne standardizovan e Zaveden e procesy a praktiky mus b yt dokumentovan e Bezpecnostn architektura mus b yt vytvorena tak, aby urcovala a efektivne vyuzvala zdroje na bezpecnost Vsechna aktiva mus b yt vyuzv ana a spotrebov av ana v souladu s cli organizace Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpovednosti 10 Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpovednosti 11
{ povinnosti na úrovních řízení Spr avn rada Dohlz na politiku rzen znalost a vyuzit zdroj u V ykonn y management Zajist'uje procesy pro nab yv an znalost a meren ucinnosti a ucelnosti vyuzv an zdroj u Prezkoum av a procesy pro nab yv an a sren znalost { povinnosti na úrovních řízení CISO, Chief of Information Security Ocer Vytv ar metody pro nab yv an a sren znalost Vytv ar metriky pro meren ucinnosti a ucelnosti vyuzv an zdroj u Audit Vyhodnocuje rzen zdroj u a pod av a o v ysledku zpr avy Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpovednosti 12 Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpovednosti 13 { koncept Nepretrzit e sledov an napl nov an cl u organizace pozaduje meren, monitorov an a reportov an proces u rzen bezpecnosti Bezpecnostn metriky mus b yt denov any v souladu se strategick ymi cli organizace a mus b yt odsouhlaseny Procesy rzen bezpecnosti mus b yt mereny tak, aby byly identikov any nedostatky a aby byla zajistena zpetn a vazba do implementovan ych n apravn ych opatren Mus b yt prov adeny nez avisl e anal yzy a audity bezpecnosti { povinnosti na úrovních řízení Spr avn rada Vyzaduje zpr avy o efektivite bezpecnosti V ykonn y management Pozaduje prov adet monitorov an a metriky pro bezpecnostn cinnosti Prezkoum av a a doporucuje zda a jak bezpecnostn aktivity napl nuj cle organizace Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpovednosti 14 Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpovednosti 15
{ povinnosti na úrovních řízení CISO, Chief of Information Security Ocer Vytv ar a zav ad prstupy k monitorov an a meren Rd a monitoruje bezpecnostn aktivity Audit Vyhodnocuje urove n ucinnosti a ucelnosti meren a metrik a pod av a o v ysledku zpr avy { koncept Cinnosti zajist'ov an bezpecnosti mus mus b yt prov aden e v souladu se strategi cinnost organizace a tak, aby byla minimalizovan a moznost v yskytu skryt ych rizik Nesm existovat nedostatky v ochrane aktiv organizace Bezpecnostn opatren se nesm zbytecne prekr yvat, nesm b yt ne ucelne redundantn Cinnosti pro zajisten bezpecnosti mus b yt implementov any v souladu se strategi organizace a mus b yt vz ajemne prov az any Mus b yt spr avne urceny role a odpovednosti za bezpecnostn procesy Pracovnci zajist'ujcc bezpecnost mus vz ajemne komunikovat a rozumet sv ym potreb am Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpovednosti 16 Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpovednosti 17 { povinnosti na úrovních řízení Spr avn rada Dohlz na politiku zajist'ujc integraci proces u V ykonn y management Dohlz nad cinnostmi zajist'ujcmi bezpecnost a nad pl any pro integraci Indikuje kritick e procesy a odpovednosti Rd aktivity vedouc k prov az an proces u bezpecnosti { povinnosti na úrovních řízení CISO, Chief of Information Security Ocer Udrzuje kontakt s ostatnmi odpovedn ymi pracovnky Zajist'uje, aby byly identikov any a reseny nedostatky v informacn bezpecnosti Audit Vyhodnocuje efektivitu proces u pro zajisten bezpecnosti prov aden ych v r amci r uzn ych oblast a pod av a o v ysledku zpr avy Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpovednosti 18 Jan Staudek, FI MU Brno PV017 { Rzen informacn bezpecnosti v organizaci. role a odpovednosti 19