Regulace a normy v IT IT Governance Sociotechnický útok. michal.sláma@opava.cz

Podobné dokumenty
Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Standardy a definice pojmů bezpečnosti informací

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

Předmluva: Vítejte v ITIL! Úvod 15 IT Infrastructure Library O této knize ITIL (IT Infrastructure Library ) 1.3. Služby a správa služeb

Procesní řízení a normy ISO, ITIL, COBIT, HIPAA, SOX

Cvičení 1,2 Osnova studie strategie ICT

KIV/SI. Přednáška č.2. Jan Valdman, Ph.D.

Management informační bezpečnosti

METODIKY ŘÍZENÍ ICT: ITIL, COBIT, IT GOVERNANCE

Co je to COBIT? metodika

Návrh softwarových systémů - softwarové metriky

Jak na jakost v podnikovém IT Evropský týden kvality Praha

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Olomouc, INŽENÝRSKO-DODAVATELSKÁ, PROJEKNÍ A OBCHODNÍ SPOLENOST ŠTPÁNOV, MŠ SÍDLIŠT REALIZACE ENERGETICKÝ ÚSPORNÝCH OPATENÍ

Nástroje IT manažera

1.1. Správa a provozní podpora APV ROS, HW ROS a základního SW

a úvod do ITIL Marek Rychlý Přednáška pro INI Vysoké učení technické v Brně Fakulta informačních technologií Ústav informačních systémů

organizací IT Vladimír r Kufner

Nástroje IT manažera

Úvod do problematiky informační bezpečnosti. Ing. Jan Bareš, CISA

OBCHODNÍ PODMÍNKY. 1 z Základní informace. 2. Základní pojmy Základní údaje:

Proč nový styl řízení ICT

SBÍRKA PEDPIS ESKÉ REPUBLIKY

Informační bezpečnost. Dana Pochmanová, Boris Šimák

Cobit 5: Struktura dokumentů

Jak se řídí IT VÁCLAV ŠPÁŇA V A C L A S P A N A. C Z

3 Bezpečnostní politika 3/1 Základní pojmy, principy standardy a požadavky

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

STÁTNÍ ENERGETICKÁ KONCEPCE ESKÉ REPUBLIKY. (schválená usnesením vlády eské republiky. 211 ze dne 10. bezna 2004)

Pedstavení projektu 2007

POZVÁNKA NA VALNOU HROMADU spolenosti Rizzo Associates Czech, a. s.

METODIKA HODNOCENÍ KATEGORIE A MÍSTNÍ AGENDY 21

IT Governance. Libor TůmaT. konzultant, AHASWARE. itsmf

Otázky kurzu 4IT417 Řízení podnikové informatiky verze z 1/2/ Podniková informatika pojmy a komponenty

Příloha č. 1 Servisní smlouvy. Katalog služeb. S2_P1_Katalog služeb

MENDELOVA ZEMDLSKÁ A LESNICKÁ UNIVERZITA V BRN PROVOZN EKONOMICKÁ FAKULTA. Diplomová práce. Lidské zdroje. Bc. Milada ezáová

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok

2. splašková kanalizace [441] - gravita ní Stoka Materiál Profil Délka gravita ní PVC KG DN ,39 m V etn : 3 ks revizní šachta

Novela zákona č. 406/2000 Sb., o hospodaření s energií

Jan Hřídel Regional Sales Manager - Public Administration

COSO 2013 od teorie k praxi

Normy a standardy ISMS, legislativa v ČR

Metriky v informatice

PŘÍLOHA Č. 2 RÁMCOVÉ SMLOUVY SOUPIS DOPROVODNÝCH BEZPLATNÝCH SLUŽEB. 1. Pravidla poskytování doprovodných bezplatných služeb

Verze 3 základní představení

Výsledky prieskumu ITSM 2008 Informácie o stave ITSM v SR a ČR

ČESKÁ TECHNICKÁ NORMA

PŘÍLOHA 5 SMLOUVY O PŘÍSTUPU KE KONCOVÝM ÚSEKŮM. Bezpečnost, ochrana majetku a osob

Informace dle zákona. 106/1999 Sb., ve znní pozdjších pedpis

a) Požadavky na zpracování dodavatelské dokumentace stavby

AST SmartDataSAFE. Analytický dokument CC # /12 CC #200906

Efektivní řízení rizik ISMS. Luděk Novák, Petr Svojanovský ANECT a.s.

polite- Evropské ITS nejlepší případy pro

ZADÁVACÍ DOKUMENTACE VE EJNÉ ZAKÁZKY

Procesní řízení IT. Ing. Hana Neničková, MBA

Microsoft Outlook 2010 tipy a triky

VYJÁDENÍ O EXISTENCI SÍT ELEKTRONICKÝCH KOMUNIKACÍ spolenosti Telefónica O 2 Czech Republic, a.s.,

Léebné lázn Jáchymov a.s. Pololetní zpráva konsolidovaná k po oprav

Katalog služeb a podmínky poskytování provozu

Vysoká škola ekonomická v Praze Fakulta informatiky a statistiky. Diplomová práce Michael Čihák

Nkolik poznámek k ochran technických ešení

Úvod do IT Services a Enterprise Systems Management

St edisko sociálních služeb m sta Kop ivnice, p.o. eská 320, Kop ivnice

OBECN ZÁVAZNÁ VYHLÁŠKA obce POLERADY. 2/2001

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Ministerstvo vnitra České republiky vyhlašuje Výzvu k předkládání žádostí o finanční podporu v rámci. IOP Integrovaný operační program

KOMUNITNÍ PLÁN MIKROREGIONU HRÁDECKO - CHRASTAVSKO

íslo jednací: /14 íslo žádosti: Dvod vydání Vyjádení : Územní souhlas

Znalecký posudek. 3567/2012

Plánování v rámci ISMS

a úvod do ITIL Marek Rychlý Přednáška pro INI Vysoké učení technické v Brně Fakulta informačních technologií Ústav informačních systémů

6. Bytové domy I. Bytové domy I. 1/29

Aktuální situace české internetové ekonomiky

3.přednáška. Informační bezpečnost: Řízení IS/IT

Příloha: Dodatečné informace, včetně přesného znění žádosti dodavatele o dodatečné informace

Představení normy ČSN ISO/IEC Management služeb

ICT plán ZŠ praktické Bochov na rok 2009

M S T S K Ý Ú A D. Stavební úad

3.6 Elektronizace odvětví: sociální služby, pojištění, dávky, sociálně- právní ochrana dětí

MOHOU TECHNOLOGIE ZVÍTĚZIT V BOJI S MODERNÍMI HROZBAMI?

TVORBA BEZPEČNOSTNÍ POLITIKY ORGANIZACE A HAVARIJNÍHO PLÁNU

KYBERNETICKÁ BEZPEČNOST VE SKUPINĚ ČEZ V ROCE 2016

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

FIT, MI FRI 02/2011 Finanční řízení informatiky Přednáška 8,9 Procesní řízení informatiky

IS KONTI AS SOFTWARE SUPPORT OF INTERMODAL TERMINAL

Provoz, podpora a údržba IS. Jaroslav Žáček jaroslav.zacek@osu.cz

ITIL Základní přehled. Marek Rychlý (Ivana Burgetová)

Vcný zámr zákona o zdravotnické záchranné služb (kroužkové íslo 295/2007)

ICT plán. Škola: VOŠ, SPŠ a SOŠ řemesel a služeb, Strakonice - Hodnocení: ICT VOŠ, SPŠ a SOŠ řemesel a služeb, Strakonice

geotym.geogr.muni.cz Historie vzniku geoinforma ních infrastruktur a úvod do problematiky sm rnice INSPIRE Geoinforma ní infrastruktury (?

Zabezpečení cloudové infrastruktury

Model S-P-S-P-R, ITIL

MSTSKÝ ÚAD Jindichv Hradec

KURZ PRVNÍ POMOCI A ZÁCHRANY

ŘÍZENÍ VZTAHU SE ZÁKAZNÍKY 5 Efektivní navázání vztahů, příprava a průběh prvního kontaktu. Ing. Miloslav Šašek

F.1.1. Technická zpráva

ICT plán školy 2015/2016

Transkript:

Regulace a normy v IT IT Governance Sociotechnický útok michal.sláma@opava.cz

Regulace a normy v IT Mezinárodní regulace Národní legislativa Mezinárodní normy Národní normy Oborové standardy Best practices Implementaní standardy...

Legislativa Sarbanes-Oxley SOX Patriotic Act Zákon o ochran osobních údaj Zákon o utajovaných skutenostech Zákon o svobodném pístupu k informacím

Normy a standardy SN ISO/IEC 27001:2005 - BS 7799 SN ISO/IEC 20000:2006 - ITIL SN ISO/IEC 15408:2001 - CC COBIT (Control Objectives for Information and related Technology) ITIL (Information Technology Infrastructure Library) Bezpenostní standardy výrobc (MS)

IT Governance Úkolem IT Governance je ídit aktivity IT v rámci organizace tak, aby byly zajištny následující cíle: Propojení a sjednocení business a IT strategie v rámci spolenosti tak, aby byly oboustrann splnny pedem definované požadavky a oekávání (tj. odvození IT strategie z jednotlivých cíl definovaných v business strategii) Maximální a ízené využitípíležitostí, které IT businessu nabízí Zodpovdné využívání IT zdroj ízení rizik spojených s vývojem / poízením / provozováním IT

IT Governance CobIT (ISACA): IT Governance je definovaná struktura vztah a proces, pomocí kterých lze ídit a kontrolovat organizaci tak, aby IT v maximální míe umoovalo a podporovalo dosažení podnikatelských cíl. Pidanou hodnotou je redukce a ízení rizik nad procesy v IS. It Governance ovlivuje zvýšení efektivity organizace pomocí: Zajištní a zabezpeení integrity, bezpenosti a spolehlivosti strategických a jiných citlivých informací. Ochrany investic do IT a komunikací Nastavení odpovídajícího vedení a ízení informaních aktiv, na nichž pímo závisí úspch nebo pežití organizace Zvyšování hodnoty podnikatelských proces pomocí IT (vazba IT na podnikatelské procesy) ITIL: IT Governance se zabývá kooperací businessu a IT managementu. Tato kooperace je stžejní pro podnikové cíle a procesy, které jsou závislé na správném fungování IT. Oblasti zájmu IT Governance Sjednocení strategií (podniková versus IT strategie) ízení zmn (change management) Business Continuity IT Asset Management ízení zdroj ízení znalostí

CobIT IT procesy - základní IT procesy jsou: Plánování a organizace Akvizice a implementace Poskytování a podpora Monitorování IT zdroje Aplikace Informace Infrastruktura Lidské zdroje Informaní kritéria Úelnost Hospodárnost Dvryhodnost Integrita Dostupnost Souhlasnost/Shoda Spolehlivost

Cobit

CobIT Plánování a organizace Pokrývá úrove strategického a taktického plánování a organizování IT vetn ízenípidané hodnoty IT pro business. V této ásti naleznete odpovdi na otázky typu: Jsou business a IT strategie ve vzájemném souladu? Využívá naše organizace své IT zdroje optimáln? Jsou zmapována a ízena všechna rizika spojená s IT? Jsou jasn definované cíle IT projekt a jsou tyto cíle všeobecn známé? Poízení a implementace Identifikace IT ešení vhodného pro realizaci zvolené IT strategie. ešení mže být vyvíjeno vlastními silami nebo poízeno z vnjších zdroj, následn musí být implementováno a integrováno se stávajícími systémy a procesy. V této domén je také zahrnuto potebné ízení zmn v nových i stávajících systémech. V této ásti naleznete odpovdi na otázky typu: Splní plánovaný IT projekt oekávání a požadavky businessu? Bude nový projekt dokonen v plánovaném ase, bude dodržen rozpoet projektu? Bude nový systém pracovat po implementaci správn? Neohrozí plánované zmny fungování souasných podnikových proces?

CobIT Dodávka služeb a podpora Tato doména je zamená na ízení IT služeb, což zahrnuje poskytování služeb, ízení bezpenosti a kontinuity služeb, podporu služeb, správu dat a potebné infrastruktury. V této ásti naleznete odpovdi na otázky typu: Jsou služby IT poskytovány v souladu s prioritami a potebami businessu? Jsou služby IT nákladov optimální? Jsou splnny všechny požadavky na dvryhodnost, integritu a dostupnost IT služeb? Monitorování a hodnocení Všechny IT procesy musí být pravideln monitorovány a vyhodnocovány tzn. kontrolovat, zda jejich výstupy jsou v požadované kvalit a zda splují definovaná kontrolní kritéria. Tato doména pokrývá oblasti ízení výkonnosti, monitorování, interní kontroly a správy IT. V této ásti naleznete odpovdi na otázky typu: Dochází k mení výkonnosti IT, tak aby byly pípadné problémy ešeny dív než skuten nastanou? Je systém interních kontrol efektivní a úplný? Jsou všechna rizika, kontroly a výkonnost meny a reportovány?

ITIL Vydefinování proces potebných pro zajištní ITSM: Stanovení cíl, vstup, výstup a aktivit každého procesu Stanovení rolí a jejich odpovdností v daném procesu Zpsob mení kvality poskytovaných IT služeb a úinnosti ITSM proces (Key Performance Indicators + metriky) Vzájemné vazby mezi jednotlivými procesy Postupy auditu a zásady reportingu pro každý proces Zásady pro implementaci proces ITSM: Pínosy každého procesu Critical Success Factors, možné problémy a vhodná protiopatení Náklady na implementaci a následný provoz Zásady pro ízení podprné ICT infrastruktury Zásady bezpenosti ICT infrastruktury

ITIL

ITIL Service Strategy Ústední publikace poskytující praktický rámec k návrhu, vývoji a implementaci ízení služeb nejen z pohledu organizaního, ale i jako zdroje strategické výhody.publikace obsahuje definice služeb, strategii ITSM a plánování pidané hodnoty, IT governance, definice typ poskytovatel služeb a obchodních strategií, potažmo strategií služeb. Service Design Tato publikace poskytuje rámec pro návrh a vývoj služeb a proces jejich ízení. Zahrnuje principy a metody pro pevod strategických cíl do portfolia služeb. Nesoustedí se pouze na nové služby, ale obsahuje i procesy zmny a prbžného zlepšování stávajících služeb, potebné pro udržení nebo zvýšení úrovn služeb, jejich pidané hodnoty pro zákazníka a v neposlední ad i jejich soulad s právními normami a standardy.

ITIL Service Transition Publikace obsahuje postup, jakým zpsobem požadavky definované v rámci Service Strategy efektivn realizovat v prbhu Service Operation (reálné prostedí) za souasného ízení rizik poruch a výpadk služeb. Poskytuje rámec pro ízení komplexní problematiky spojené se zmnami ve službách a v procesech jejich ízení. Kombinuje postupy Release Managementu, Programme Managementu a Risk Managementu a pevádí je do praktického kontextu ízení služeb jako celku. Service Operation Tato publikace obsahuje postupy pro ízení služeb v produkním prostedí, dosažení výkonnosti a úinnosti v dodávce služeb a jejich podpoe tak, aby byla vyprodukována hodnota jak pro zákazníka tak pro poskytovatele služby. Tato ást ITIL V3 v nejvtším rozsahu pebírá knihy Service Strategy a Service Delivery ITIL V2, ale také Application management a ICT infrastructure management.

ITIL Continual Service Improvement Tato kniha obsahuje prostedky pro vytváení a udržování pidané hodnoty služby pro zákazníka prostednictvím zvyšující se kvality služeb a efektivity jejich provozu. Kombinuje pitom principy, praktiky a metody ízení kvality a Change Managementu.

ITIL Nejdležitjšími pínosy implementace ITIL jsou: úspora náklad na provoz IT služeb lepší kvalita a spolehlivost IT služeb (=spokojenjší zákazníci) lepší využívání drahých ICT zdroj menší poet výpadk ICT systém vyšší úrove komunikace (= lepší porozumní) mezi pracovníky úsek ICT a zákazníky/uživateli

ITIL

Sociotechnický útok Vnjší útoky Cílené - hackerské útoky Necílené viry, ervy,spamy Sociální útoky Kombinované metody Kriminální innost Vnitní útoky Demotivovaní zamstnanci Nedvryhodní dodavatelé Vysoká hodnota aktiv

Souasný trend Kombinace sociálních a technických metod a využití všech moderních možností internetu Phising + Pharming Hlavní nebezpeí spoívá na statistických pedpokladech pi vysoké etnosti útok

Sociotechnické metody Nevinná informace Staí se zeptat Odvracení pozornosti Budování dvry Žádost o pomoc Soucit, vina, zastrašení Obrácený podraz

Cena informace I informace zdánliv bez významu mají pro útoníka cenu, pokud ví jak jich využít Znalost žargonu otvírá dvee k informacím Skládání informací bez kontextu umouje vidt do organizace zevnit

Žádost o pomoc Velmi úinná metoda ve velkých spolenostech. Míí primárn na odborné pracovníky IT Vysoké nebezpeí spoívá ve významu poskytnutých dat

Obrácený podraz Sofistikovaný zpsob prniku do organizace Po vyvolání bezpenostního incidentu zvnjšku je útoník požádán o pomoc pi odstraování incidentu Oteve se tím cesta k prniku dovnit organizace

Varovné píznaky Odmítnutí sdlit zpátení íslo Neobvyklá žádost Chránní se autoritou Zdrazování naléhavosti záležitosti Hrozba dsledky nevyhovní Neochota odpovídat na otázky Zmiování mnoha jmen Komplimenty a pochlebování Flirtování

Sociotechnický cyklus Przkum (volné, veejné informace, žargon, internetové stránky, odborný tisk) Budování vztah a dvry (používání vnitních informací, vydávání se za nkoho jiného, používání odborných výraz a autority) Využitídvry (žádost o informaci nebo o innost, zmanipulování obti) Využití získaných informací (pokud je získaná informace pouze dalším krokem, vrací se k pedchozím bodm cyklu)

Dkuji za pozornost michal.slama@opava.cz +420 605 204 480

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář