ISMS. Uživatel jako zdroj rizik. V Brně dne 5. a 12. prosince 2013



Podobné dokumenty
Kybernetická bezpečnost Zákonná povinnost nebo existenční nutnost?

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001


Bezpečnostní politika společnosti synlab czech s.r.o.

Bezpečnostní aspekty informačních a komunikačních systémů KS2

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

V Brně dne a

Efektivní řízení rizik ISMS. Luděk Novák, Petr Svojanovský ANECT a.s.

Management informační bezpečnosti. V Brně dne 26. září 2013

Označení: Počet listů: 5 Verze: 1.0 SMĚRNICE ISMS. Název: Pravidla pro uživatele IT systémů. Vytvořil: Schválil: Účinnost od:

Úvod - Podniková informační bezpečnost PS1-1

Management informační bezpečnosti

KOMUNIKAČNÍ TECHNOLOGIE A JEJICH VYUŢITÍ ŢÁKY ZÁKLADNÍCH ŠKOL Informační a komunikační technologie ve vzdělávání

IT Governance. Libor TůmaT. konzultant, AHASWARE. itsmf

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

Standardy a definice pojmů bezpečnosti informací

Projekt implementace managementu bezpečnosti informací v rámci realizace ISO ve firmě Synot ICT Services a.s.

NASAZENÍ KONTEXTOVÉHO DLP SYSTÉMU V RÁMCI ZAVÁDĚNÍ ISMS

2.přednáška. Informační bezpečnost: Systém řízení informační bezpečnosti (ISMS)

1. KURZ č. 1 - QMS - Školení a výklad normy ČSN EN ISO 9001: KURZ č. 2 - QMS - Školení interních auditorů QMS a metrologa


Dodatečná informace č. 1

Informační bezpečnost. Dana Pochmanová, Boris Šimák

Uživatel jako zdroj rizik a přístupy k jejich zvládání. Petr Nádeníček

BEZPEČNOST IT A OT SYSTÉMŮ V ENERGETICE

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi října 2011 r


1.1. Správa a provozní podpora APV ROS, HW ROS a základního SW

Metodika zajištění ochrany kritické infrastruktury v oblasti výroby, přenosu a distribuce elektrické energie

Svalová dystrofie. Prezentace technologických řešení registru Petr Brabec

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

BYOD podmínky a konsekvence jejich provozu u podnikatele. Tomáš Roubík Advokátní kancelář Roubík & spol.

Projekt implementace ISMS Dodatek 1, PDCA

BEZ LIDÍ TO NEPŮJDE. Ivan Svoboda, ANECT & SOCA. Pro zveřejnění

Zásady managementu incidentů



MOHOU TECHNOLOGIE ZVÍTĚZIT V BOJI S MODERNÍMI HROZBAMI?

ANECT, SOCA a bezpečnost aplikací

Implementace systému ISMS

Á Ž Ž Ž ž Ž Ž Ž ť ž ť ž ž ž ž Ž ž Ž Í Ž Ž žť ž ž ž ž Ž Ž ž ž Ž ž ž Ž Ž Ž ž Ž ž ž ť ť Č ž ť Ž ž Ž Ž ž ď ž ť ž ž ť ž Ž Ž Ž Ž Ž ž ž Ž ž ž ž ž ť ž ž ž ž ž



DODATEČNÉ INFORMACE K ZADÁVACÍM PODMÍNKÁM

Bezpečnost na internetu. přednáška

V Brně dne 10. a


Jako příklady typicky ch hrozeb pro IT lze uvést: Útok



Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

PRACOVNÍ SCHŮZKA INFORMATIKŮ MHMP a ÚMČ. INF MHMP a MČ


Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001







Zákon o kybernetické bezpečnosti

Co je a co není implementace ISMS dle ISO a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o.

BEZPEČNOST ICT. Marek Chlup

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha


Bezpečnostní politika a dokumentace


BEZPEČNOST CLOUDOVÝCH SLUŽEB




Případová studie: Ochrana citlivých dat v automobilovém průmyslu


ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

Zadávací podmínky soutěže: Dodávka HW a SW vybavení pro střediska SIM na území ČR. Zadavatel:

ZADÁVACÍ DOKUMENTACE K VEŘEJNÉ ZAKÁZCE MALÉHO ROZSAHU

Jan Slezák, Zdeněk Dutý Oracle Day. Využití SW a HW technologií Oracle v projektu ISZR a potenciál pro egoverment



BEZPEČNOSTNÍ ROLE. a jejich začlenění v organizaci


ů Ž š ů š ř ř Ž Š ř ý ř ř ř ř ř Ž ý ř š ř ř ř ů ý ř ř ý ř Ž Š ř ř ř Ž Ž ú

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,


Proč ochrana dat a informací není běžnou součástí každodenního života? Martin HANZAL SODATSW spol. s r.o.

Bezpečnostní politika IS. Městská část Praha Kunratice

3.přednáška. Informační bezpečnost: Řízení IS/IT



Bezpečnostní normy a standardy KS - 6


Audit ICT. KATALOG služeb. Ing. Jiří Štěrba


Case study z analýzy dopadů a zavedení BCM v praxi. Aleš Kruczek ALD Automotive, člen Société Générale Martin Tobolka - AEC

Bezpečnostní incidenty IS/ICT a jejich řešení

Státní pokladna. Centrum sdílených služeb

Transkript:

ISMS Případová studie Uživatel jako zdroj rizik V Brně dne 5. a 12. prosince 2013

Pojmy ICT (Information and Communication Technology) informační a komunikační technologie IS (Information System) informační systém ISMS (Information Security Management System) Systém řízení bezpečnosti informací Aktiva (Asset) - Jsou zdroje (HW, SW, služby a informace), které mají být chráněny pomocí bezpečnostních opatření. PDCA (Plan-Do-Check-Act) je metoda postupného zlepšování (například kvality výrobků, služeb, procesů, aplikací či dat) probíhající formou opakovaného provádění těchto čtyř základních činností. ISMS - pojmy 2

Bezpečnostní projekt Bezpečnostní projekt zavádění ISMS ISMS je založen na využití modelu PDCA (Demingův model) a má čtyři etapy: - Ustanovení ISMS (určuje rozsah a odpovědnosti) - Zavádění a provoz ISMS (prosazení vybraných bezpečnostních opatření) - Monitorování a přezkoumání ř ISMS (zajištění zpětné vazby a hodnocení řízení) í) - Údržba a zlepšování (odstraňování slabin a soustavné zlepšování) Otázka: Do které fáze zařadíte školení uživatelů? A.8. Bezpečnost lidských zdrojů ISMS - PDCA 3

Struktura ISMS Vstupy normativní - právní prostředí - regulace - společnost - školení - detekce anomálií - audit a řízení Zpětná vazba ISMS MNGMT Vstupy strategické - obchod - rizika obchodu rozhodnutí Zpětná vazba Vstupy provozní - služby (SLA) - rizika provozu Technologie - politiky - procedury - mechanizmy ISMS - struktura 4

Uživatel ICT Lidský faktor je problém s nejvyšší mírou rizika! Lidé jsou pomyslným nejslabším článkem řetězu,, který determinuje celkovou úroveň informační bezpečnosti celé organizace. Negativní jevy v organizacích - lze je rozdělit následujícím způsobem: - Neformální vazby - Nekompetentnost managementu v otázkách informační bezpečnosti - Nedostatečné t č pravomoci bezpečnostního č managementu IT - Rezistence uživatelů Správně ě poučený č uživatel, znamená mnohem menší riziko ik pro Informační č systém. Uživatelé by měli být proškoleni minimálně před vznikem pracovního poměru a v průběhu pracovního poměru. (dle dokument Minimální bezpečnostní pravidla pro uživatele ) Úkol: proveďte klasifikaci uživatelů pomocí grafického znázornění! Uživatelé ICT 5

Úkol Vypracování Uživatelé ICT 6

Graf dělení uživatelů IT uživatel profesionálové IT profesionál Pravidelná školení Pravidelná školení s represemi škodiči Odpovídající stupeň rizika je následující: uživatelé 1.bez rizika IT profesionál Aplikační profesionál 2.minimální riziko Aplikační profesionál Vyškolený uživatel ý 3.malé riziko Vyškolený uživatel IT výzkumník 4.střední riziko IT výzkumník Nevyškolitelný uživatel IT ignorant 5.velké riziko IT ignorant a nevyškolitelný uživatel IT rebel 6.maximální riziko IT rebel Dělení uživatelů 7

Dělení uživatelů IT profesionál bezproblémový blé uživatel spotenciálem IT administrátora i Aplikační profesionál odborník v daném oboru využívající možnosti poskytované ICT technologiemi Vyškolený uživatel uživatel dodržující bezvýhradne pravidla hry (IT bezpečnosti) Nevyškolitelný uživatel IT analfabet IT výzkumník škodič, který nevyužívá své IT schopnosti správným směrem IT ignorant škodič spřesvědčením své nevyškolitelnosti IT rebel škodič nejhoršího kalibru, na nějž platí pouze IT karanténa Dělení uživatelů 8

Standardní bezpečnostní opatření pro běžné uživatele Základní bezpečnostní opatření pro uživatele: Zákaz používání í soukromých prostředků (aktuální jsou mobily, PDA, tablety, t notebooky ale také USB zařízení a externí HDD) x BYOD Povinnost mlčenlivosti (zakotvení v pracovní smlouvě včetně rozsahu platnosti) Odpovědnost vlastníků aktiv (problematické je přidělení a ještě více přijetí odpovědnosti) Pravidla označování č a nakládání s informacemi i (souvisí s klasifikací informací) Periodické bezpečnostní školení Fyzický bezpečnostní perimetr (problematickém dodržování pravidel fyzického přístupu) Správa a likvidace výměnných médií (nejen média, ale USB zařízení a externí HDD) Pravidla používání hesel (vymáhání dodržování zásad) Pravidla opouštění pracoviště (zásada prázdného stolu a monitoru) Zabezpečení mobilních IT (i pro soukromé účely) Hlášení a řešení bezpečnostních incidentů (automaticky) - systémem Bezpečnostní opatření 9

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář