Projekt implementace ISMS

Projekt implementace ISMS PV 017 Bezpecnost IT Jan ÐStaudek Û Å«Æ ±²³ µ ¹º»¼½¾ Ý http://www..muni.cz/usr/staudek/vyuka/ Verze : podzim 2016

ISMS { Information Security Management System Metodicky vypracovan y a udrzovan y a certikovateln y syst em proces u zajist'ujcch r adn e prosazov an informacn bezpecnosti v organizaci, typicky a zejm ena v oblastech Rzen (zvl ad an) rizik souvisejcch s informacn bezpecnost Organizacn zajist en informacn bezpecnosti Zaveden a prosazov an bezpecnostn politiky a pl anu zvl ad an rizik zajist'ujcch d uv ernost, integritu a dostupnost informacnch aktiv Spr ava informacnch aktiv Bezpecnost lidsk ych zdroj u Fyzick a a are alov a bezpecnost Rzen komunikac a provozu informacnch syst em u Rzen prstupu k informacnm aktiv um Porizov an, v yvoj a udrzba informacnch syst em u Reakce na utoky na informacn bezpecnost Zachov an kontinuity cinnosti organizace po utoku na InSec Dosahov an souladu s pr avnmi a smluvnmi z avazky Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 1

Projekt zaveden, implementace ISMS ISO/IEC 27003 : 2010 Information technology Security techniques Information security management system implementation guidance N avod k implementaci ISMS { jak zah ajit, napl anovat a denovat projekt zav ad ejc ISMS formou zak azky resen e organizac clen e na zaveden ISMS a na integraci ISMS mezi ostatn podnikatelsk e (byznys) procesy organizace Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 2

Projekt zaveden, implementace ISMS F aze zak azky projekt implementace ISMS jsou: ZAH AJENI PROJEKTU IMPLEMENTACE ISMS 1. Zsk an souhlasu veden organizace s projektem implementace ISMS 2. Denov an oblasti p usobnosti ISMS a politiky ISMS P RIPRAVA IMPLEMENTACE ISMS 3. Anal yza pozadavk u organizace na informacn bezpecnost 4. Ohodnocen rizik a vypracov an pl anu zvl adnut rizik N AVRH ISMS 5. N avrh a implementace ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 3

Nejprve k metod am rzen realizacnho projektu obecn e N avrh, implementace a zaveden ISMS je projekt Co je to projekt { obecn a charakteristika jedinecn a soustava cinnost sm erujcch k predem stanoven emu a jasn e denovan emu cli, kter a m a urcen y zac atek a konec, kter a vyzaduje spolupr aci r uzn ych profes, v aze jejich kapacity a jejich usil a vyuzv a (prpadn e spotrebov av a) pro vytvoren clov ych v ystup u { informace, { materi al, { penze, { schopnosti a dovednosti z ucastn en ych lid Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 4

Metodologie n avrhu a implementace ISMS Projekt vzdy zam estn av a skupinu lid a ovliv nuje jin e skupiny lid. Projekt je vzdy spojen s rizikem ne usp echu, pon evadz je jedinecn y a nikdy zcela presne nevme, co n as v pr ubehu jeho realizace cek a nebo zaskoc. Abychom vsak mohli projekt rdit k usp echu, musme mt nejak y sc en ar ci osnovu. Tmto jsou pl any projektu. Prklady pl anovan ych ukol u urcen zp usobu rzen projektu (waterfall, agiln prstup,... ) urcen zp usobu zajist en integrace r uzn ych rdicch syst em u, identikace klcov ych odpov ednost, identikace pozadovan ych zdroj u v pr ub ehu zivotnho cyklu projektu, rozhodnut o vyuzv an konzultant u,...,... Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 5

Metodologie n avrhu a implementace ISMS Usp ech projektu tedy znamen a spln en cle ve trech dimenzch: vecne (CO, JAK, a V JAK E KVALIT E se m a udelat), casove (KDY m a b yt co provedeno { etapy/f aze, kroky, ukony) a n akladove (ZA KOLIK se to m a udelat, nejprve ve spotrebovan e pr aci a pak v penezch). Tento trojimperativ projektu v podstat e odpovd a tomu, jak je v obchodnm z akonku vymezena smlouva o dlo. Každá smlouva o dílo musí obsahovat specifikaci plnění (CO A JAK, V JAKÉ KVALITĚ), termíny (KDY) a cenu (ZA KOLIK), aby to smlouva o dílo byla Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 6

Metody rzen realizacnho projektu Standard ISO/IEC 27001 p uvodn e direktivn e predpisoval pouzt pro projekt implementace ISMS procesn prstup podle metodologie PDCA PDCA, Plan Do-Check-Act, pl anuj, ud elej, zkontroluj, jednej tak e Deming uv cyklus nebo PDCA cyklus metoda postupn eho zlepsov an naprklad kvality v yrobk u, sluzeb, proces u, aplikac, dat, probhajc formou opakovan eho prov ad en ctyr zmn en ych cinnost. Deatily viz naprhttp://mostechinformationsite.blogspot.cz/2014/10/pdcacycle-of- quality-management-basic.html Dals aplikovateln e metody rzen COBIT, http://www.isaca.org/cobit/pages/default.aspx ITIL, https://managementmania.com/cs/informationtechnology-infrastructure-library Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 7

Model PDCA, Plan Do-Check-Act Model PDCA je siroce uplat novan y v podnik an, v rzen kvality,... ISMS mus b yt mj. integrovan y s rdicmi syst emy napr. pro { rzen kvality (dle standardu ISO 9001) a { pro udrzov an zivotnho prostred ( ISO 14001), kter e rovn ez pouzvaj model PDCA a tudz je pouzit PDCA uprednost nov ano Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 8

PDCA cyklus v yvoje ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 9

PDCA { f aze PLAN (zrzen ISMS) Denice oblasti ISMS Denice politiky informacn bezpecnosti Denice systematick eho prstupu k ohodnocov an rizik Vypracov an procedur rescch ohodnocen rizik a proveden ohodnocen rizik cl { v kontextu politiky a oblasti ISMS identikovat d ulezit a informacn aktiva a rizika, kter ym jsou tato aktiva vystavena Identikace a vyhodnocen moznost jak zvl adat rizika V yber cl u ochran a implementovateln ych opatren pro kazdou moznost Vypracov an Prohl asen o aplikovatelnosti vybran ych opatren pokryt e bezpecnostn cle a vlastnosti vybran ych opatren Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 10

PDCA { f aze DO (implementace a provozov an ISMS) Formulace pl anu zvl ad an rizik, vytvoren jeho dokumentace { syst emov a, detailn, bezpecnostn politika { denice proces u a procedur plncch bezpecnostn opatren Implementace vsech opatren urcen ych v pl anu zvl ad an rizik Implementace procedur (opatren) umoz nujcch promptn detekci bezpecnostnch incident u a reakce na n e Zaskolen relevantnch zam estnanc u, denice programu systematick e v ychovy k bezpecnostnmu uv edom en Zajist en zdroj u a operac pro v ykon cinnosti ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 11

PDCA { f aze CHECK (sledov an a posuzov an ISMS) monitorov an, ohodnocov an, testov an, audit cinnost rzen ych ISMS vytv aren d ukaz u, shromazd'ov an v ysledk u monitorov an,... posuzov an a tam kde to jde i meren, v ykon u proces u proti bezpecnostn politice, cl um a praktick ym zkusenostem generov an zpr av pro posouzen managementem m eren ucinnosti syst emu rzen a opatren, kter a jej implementuj ACT ( udrzba a vylepsen ISMS) Proveden oprav a zm en na z aklad e v ysledk u posouzen managementem Identikace, dokumentace a implementace vylepsen ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 12

Uk azka aplikace PDCA cyklu na procesy rzen rizik Detailnejs pozn amky k PDCA cyklu viz Dodatek l t eto predn asky Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 13

Demonstrace cle a z avazku managementem ISO 27001 pozaduje, aby management organizace demonstroval, ze implementaci ISMS rad mezi sv e cle, a m a v uli ISMS implementovat, coz dokazuj kroky: Stanoven politiky ISMS a cl u informacn bezpecnosti, kter e mus b yt kompatibiln s orientac podnikatelsk e strategie organizace Zajist en integrace ISMS mezi ostatn procesy organizace Zajist en dostupnosti zdroj u vyzadovan ych pro ISMS Prob ehlo sezn amen organizace s d ulezitost rzen InSec Zajist en, ze ISMS dos ahl zam yslen ych v ysledk u stanoven ych politikou a cli informacn bezpecnosti Veden a podpora perzon alu k prispv an k ucinnosti ISMS Prosazov an kontinu alnho vylepsov an ISMS Podporov an manazersk ych rol Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 14

Projekcn t ym, rdic v ybor Pro n avrh a implementaci by m el nejvyss management ustanovit projekcn t ym a/nebo rdic v ybor T ym by mel v est clen strednho ci nizsho managementu s dels prax Nen vhodn y IT manazer, ti maj z pohledu podnik an nizs kredibilitu T ym by mel sest avat jak z klcov ych byznys manazer u, tak i z technick ych expert u na InSec a na IT Experty na InSec a na IT lze zajistit i smluvne, pak je ale nutn e uplatnit odpovdajc opatren pro bezpecnou participaci tretch stran (NDA,... ) Vce dopl nujcch pozn amek k pr aci t ymu viz Dodatek 2 t eto predn asky Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 15

Cestovn mapa PDCA cyklu ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 16

Zah ajen projektu, dlc f aze Uv edom en potreby ISMS Vysv etlov an predevsm vyssm manazer um proc je ISMS potrebn y a co se jm rozum, co ovlivn Nasazen ISMS je podnikatelsk y projekt nikoli technick y projekt Pokud nebude mt podporu veden spolecnosti, vyssho managementu a relevantnch manazer u, padne Zsk an odborn ych zkusenost d ukladn a v ychova a tr ening dovednost a znalost clen u t ymu Vymezen prostoru urcen hranic p usobnosti ISMS Formulov an politiky v yvoj a odsouhlasen politiky informacn bezpecnosti organizace tato politika vymezuje orientaci ISMS v kontextu podnikatelsk ych cl u Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 17

Zdroje informac pro tvorbu politiky informacn bezpecnosti Zdroje n avod u k postupu budov an politiky informacn bezpecnosti a ISMS v prostred IS0 27000 http://www.itil.cz/, ITIL { IT Governance http://www.iso27001security.com/html/iso27000.html Zdroj n avod u k postupu budov an politiky informacn bezpecnosti http://www.yourwindow.to/ Your Window To Information Security Policies and Disaster Recovery Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 18

Zah ajen projektu, dlc f aze Jak dos ahnout uv edom en potreby ISMS Hlavn t ema { co organizace zsk a zavedenm ISMS? Cirkulace relevantnch knih Prezentace a workshopy orientovan e na ISO 27001 na pozadavky implementace veden e internmi i externmi experty e-learning,... V yklad zam erit na prklady zisk u ze zaveden ISMS v organizaci, na hrozby a rizika typick a pro organizaci Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 19

Faze projektu implementace ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 20

Dlc kroky f az projektu implementace ISMS 1. Zsk an souhlasu veden organizace pro zah ajen implem. ISMS 1.1 Objasn en priorit organizace pro projekt ISMS 1.2 Predb ezn a denice oblasti p usobnosti ISMS 1.3 Vytvoren zak azky a pl anu projektu implementace ISMS pro odsouhlasen vedenm organizace 2. Denov an oblasti p usobnosti ISMS a politiky ISMS 2.1 Denov an oblasti a hranic inf. bezpecnosti v organizaci 2.2 Denov an oblasti a hranic informacnch a komunikacnch technologi (ICT) 2.3 Denov an fyzick e oblasti a hranic 2.4 Integrace vsech oblast a hranic do oblasti a hranic ISMS 2.5 V yvoj politiky ISMS a zsk an souhlasu od veden Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 21

Dlc kroky f az projektu implementace ISMS 3. Anal yza pozadavk u organizace na informacn bezpecnost 3.1 Denov an pozadavk u organizace na inf. bezpecnost 3.2 Identikace aktiv v oblasti p usobnosti ISMS 3.3 Ohodnocen informacn bezpecnosti 4. Ohodnocen rizik a vypracov an pl anu zvl adnut rizik 4.1 Ohodnocen rizik 4.2 V yber cl u opatren a opatren { Prohl asen o aplikovatelnosti 4.3 Zsk an souhlasu veden organizace s implementac a provozov anm ISMS, vypracov an pl anu zvl adnut rizik Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 22

5. N avrh ISMS Dlc kroky f az projektu implementace ISMS 5.1 N avrh informacn bezpecnosti v organizaci 5.2 N avrh fyzick e a ICT informacn bezpecnosti 5.3 N avrh informacn bezpecnosti specick e pro ISMS 5.4 Vytvoren n alnho pl anu projektu ISMS Detailn popisy dlcch krok u vsech p eti f az obsahuje Dodatek 2 t eto predn asky Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 23

Role dokumentace ISMS Procesy v organizaci opakovateln e, odoln e v uci ztr at e znalost napr. po v ypovedi nekter eho zamestnance mus b yt Opakovateln e procesy jsou konzistentn ejs a vce predvdateln e Ucinnost kazd eho syst emu rzen z avis na patricn e, korektn dokumentaci jeho proces u a na archivu z aznam u demonstrujcch jeho nedostatky ISO 27001 pozaduje dostupnost dokumentace kazd eho bezpecnostnho opatren ISMS a relevantnho ISMS Dobre fungujc ISMS je pln e dokumentovan y Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 24

Role dokumentace ISMS Tvorba dokumentace ISMS je casov e nejn arocn ejs c ast projektu Dokumentace ISMS mus b yt upln a, vycerp avajc v souladu s pozadavky standardu ISO 27001 ve form e odpovdajc remnmu stylu a kulture Dokumentace mus b yt dostupn a a pouziteln a a adekv atne chr anen a Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 25

Pozadavky na dokumentaci ISMS Organizace mus mt syst em rzen dokumentace urcujc jak se informace distribuuj, zprstup nuj, zsk avaj a pouzvaj jak mus b yt informace uchov avan e a chr anen e, vc. udrzen citelnosti zm enov e rzen v dokumentaci pravidla skladov an a likvidace dokumentace zp usob identikace a spr avy dokument u chr anen ych autorsk ymi pr avy zp usob identikace a zach azen s informacemi podle jejich klasikacn urovn e z hlediska d uv ernosti zp usob zach azen s informacemi perzonalistick eho charakteru Jsou dostupn e syst emy pro rzen dokumentov ych z akladen ISMS obsahujc predpripraven e sablony,... http://www.itgovernance.co.uk/shop/p-1462-iso-27001-iso27001- isms-documentation-toolkit.aspx http://advisera.com/27001academy/iso-27001-documentation- toolkit/ Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 26

Dokumentace ISMS Minim aln skladba dokument u ISMS dle ISO 27001 je politika informacn bezpecnosti, denice oblasti ISMS, v ysledky hodnocen rizik, cle rzen, prohl asen o aplikovatelnosti d ukazy akc proveden ych organizac a vedenm pri specikaci oblasti (z apis z jedn an veden) popis rdic struktury projektu ISMS (rdic v ybor apod.) v n avaznosti na organizacn sch ema organizace pl an zvl ad an rizik a podp urn e dokumentovan e procedury (odpov ednosti, pozadovan e akce) implementujc kazd e opatren { procedura: kdo m a co, jak, kdy, z jak ych podmnek udelat procedury (odpov ednosti, pozadovan e akce) rzen a inspekce ISMS Posledn dv e komponenty tvor manu al politiky ISMS mus b yt dostupn y vsem zam estnanc um, elektronicky, tiskem mus b yt strukturovane cslovan y, s udrzov anm reviz,... podrobneji se Manu alu ISMS venuje Dodatek 3 t eto predn asky Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 27

4-vrstv a struktura dokumentov e z akladny ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 28

4-vrstv a struktura dokumentov e z akladny ISMS Autorizacn urovn e dokumentace 1. urove n { vrcholov y management, Board of Directors 2. urove n { CSO (Chief Security Ocer), spr avce bezpecnosti po projedn an s rdicm v yborem informacn bezpecnosti 3. urove n { CISO (Chief Information Security Ocer), spr avce informacn bezpecnosti + sefov e odd elen/odbor u organizace 4. urove n { CISO (Chief Information Security Ocer), spr avce informacn bezpecnosti + sefov e odd elen/odbor u organizace Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 29

4-vrstv a struktura dokumentov e z akladny ISMS 1. vrstva { Politiky Nastaven politik { strategick e pomerne rdce menen e dokumenty na vysok e urovni abstrakce, stanoven princip u Dokumenty autorizovan e nejvyssm managementem autorizace = demonstrace odpov ednosti nejvyssho veden za politiky Prklady dokument u 1. urovn e { vymezen zabezpecovan e oblasti, { politika informacn bezpecnosti, { pl an resen proces u PDCA pri v yvoji ISMS { v ysledek hodnocen rizik, { prohl asen o aplikovatelnosti, { pl an zvl ad an rizik, { manu al ISMS {... Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 30

4-vrstv a struktura dokumentov e z akladny ISMS 2. vrstva { Procedury popis procedur pro implementaci politik, nastaven podnikatelsk ych pozadavk u, procedur a proces u Dokumenty autorizovan e v ykonn ym managementem, konkr etn e t emi, kter jsou odpov edn za prosazov an politik v konkr etnch oblastech podnik an, a CSO (Chief Security Ocer), spr avcem bezpecnosti, vzdy vsak po projedn an s rdicm v yborem informacn bezpecnosti prklad: politika rzen prstupu si vyz ad a procedury: { spr ava uzivatel u (User Management): zrizov an uct u,... { pridelov an prstupov ych pr av... procedury se mohou menit v pr ubehu roku tak, aby reagovaly na konkr etn podnikatelsk e podmnky a pozadavky, zm eny se sm vsak odehr avat pouze v mezch stanoven ych politikami schv alen ymi nejvyssm managementem Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 31

4-vrstv a struktura dokumentov e z akladny ISMS 3. vrstva { Pracovn instrukce Uplat nov an politik pri konkr etnch cinnostech organizace, instrukce pro prov ad en konkr etnch ukol u zam estnanci, vc. m eren ucinnosti opatren, v organizaci, v jednotliv ych odd elench dokumenty typu smlouva s uzivatelem, popis pr ace, apod. (napr. jak postupovat pri uzavr an dohody se vzd alen e pracujcm zam estnancem) jsou vytv aren e vlastnky podnikatelsk ych aktiv/proces u, autorizovan e jejich prm ymi nadrzen ymi a spr avcem informacn bezpecnosti, CISO (Chief Information Security Ocer) jsou pravidelne prezkoumavan e a vylepsovan e, men se pomerne casto, tak jak se men pracovn metody (ISMS se pr ubezne vylepsuje), prpadn e tak jak se identikuj rizika (preventivn akce) nebo selh avaj opatren (opravn e akce) zm eny v pracovnch instrukcch se sm vsak odehr avat pouze v mezch stanoven ych procedurami, kter e implementuj Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 32

4-vrstv a struktura dokumentov e z akladny ISMS 4. vrstva Zpr avy zpr avy o tom, co se stalo, jak ISMS bezel z apisy, logy, z aznamy o incidentech,..., v ysledky audit u z f aze CHECK..., formul are, sablony pro tyto dokumenty Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 33

Z akladn dokumenty ISMS Celkov a politika informacn bezpecnosti oblasti organizace denuje { zabezpecovanou oblast organizace, { se rozum bezpecnost informac, { komponenty a ucel ISMS a { faktory ovliv nujc rzen cinnosti orgranizace plynouc z denovan eho a systematick eho prstupu k informacn bezpecnosti je vypracovan a na vysok e urovni abstrakce je odsouhlasen a vrcholov ym managementem organizace jej vypracov an vyzaduje ISO 27002 ISO 27001 vyzaduje politiku ISMS ob e politiky se mohou dopl novat, nahrazovat, z adn a nen implicitne nadrazen a druh e Typovou strukturu politiky ISMS uv ad Dopln ek 4 t eto predn asky Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 34

Z akladn dokumenty ISMS Pl an zvl ad an rizik organizace tak e { syst emov a politika informacn bezpecnosti tak e { syst emov a politika informacn bezpecnosti syst emu XYZ popis jak, v denovan e oblasti konkr etne, mus b yt zvl adan a rizika z pohledu informacn bezpecnosti Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 35

ISMS d ale obsahuje dokumenty { Z oblasti spr avy informacn bezpecnosti Soupis citliv ych informacnch aktiv v oblasti (data, informacn syst emy) Hodnocen zranitelnost, hrozeb a rizik pro tato aktiva Manu al ISMS obsahujc Prohl asen o aplikovatelnosti identikace opatren { funkc prosazujc bezpecnost { odpovdajcch zvl adan ym rizik um { Z oblasti n astroj u pro pln en spr avy informacn bezpecnosti Upln a, vz ajemn e souvisejc sestava popis u proces u, politik, procedur a n avod u k cinnostem zajist'ujc informacn bezpecnost v oblasti Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 36

Typick a dokumentov a z akladna ISMS, systematizace Dokumenty tvorc Manu al ISMS Politika informacn bezpecnosti, denice oblasti pokryt e ISMS, metodologie ohodnocov an rizik, v ystup procesu ohodnocen rizik, prohl asen o aplikovatelnosti, klasikacn sch ema informac, procedury podporujc ISMS,... { detaily viz dopln ek predn asky Manu al je dostupn y vsem zamestnanc um v tisten e a/nebo v elektronick e forme Zam estnanci maj b yt skolen podle manu alu ISMS D ukazy akc proveden ych organizac a jejm vedenm pri specikaci oblasti ISMS z apisy ze sch uz veden, zpr avy specialist u,... Popis syst emu rzen informacn bezpecnosti rdc v ybor, CISO,... syst emu rzen by m el odpovdat organizacnmu sch ematu organizace Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 37

Typick a dokumentov a z akladna ISMS, systematizace Pl an zvl ad an rizik, syst emov a bezpecnostn politika odpov ednosti a pozadovan e akce vc. podp urn ych dokumentovan ych procedur implementujcch stanoven a opatren { kdo m a co delat, za jak ych podmnek, kdy, jak { typicky jedna procedura / kazd e implementovan e opatren { detailn popisy pracovnch postup u identikovan e v manu alu ISMS, s autorizacemi vypracovan y obvykle na detailn ejs urovni nez manu al ISMS typicky d uv ern y dokument s omezenou dostupnost pro role urcen e v ISMS v souladu s klasikacnm sch ematem urcen ym politikou Procedury rdc spr avu a inspekci ISMS odpov ednosti a pozadovan e akce souc ast manu alu ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 38

Typick a dokumentov a z akladna ISMS, systematizace Pracovn instrukce detailn popisy krok u plncch ukoly predesan e procedurami Formul are, sablony, zpr avy o auditech,... vc. z aznam u o efektivnosti ISMS pro ucely internch audit u a prezkoum av an managementem Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 39

Jak vytv aret dokumentaci ISMS? Metoda pokus u a omyl u, prvn tvorba, pouze vlastnmi silami Typicky potrebn a doba: 14 { 19 mesc u { porozumen pozadavk um: 1 mesc { pl anov an:1 mesc { vypracov an politiky informacn bezpecnosti: 1 m esc { vypracov an prohl asen o aplikovatelnost: 2 m esce { vypracov an procedur: 4 { 6 mesc u { vypracov an pracovnch instrukc: 5 { 9 mesc u Kritika { velk a casov a n arocnost, absence znalosti nejlepsch postup u { projekt pravd epodobn e selze dky nezkusen emu veden Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 40

Jak vytv aret dokumentaci ISMS? Extern spolupr ace, dokumenty vypracuj extern konzultanti Typicky potrebn a doba: 10 { 14 mesc u { porozumen pozadavk um: 1 t yden { pl anov an:1 t yden { vypracov an politiky informacn bezpecnosti: 1 m esc { vypracov an prohl asen o aplikovatelnost: 2 m esce { vypracov an procedur: 3 { 5 mesc u { vypracov an pracovnch instrukc: 4 { 6 mesc u Prnosy { rychl e resen, dostupnost znalosti nejlepsch postup u { projekt pravd epodobn e neselze dky zkusen emu veden Kritika { vysok e n aklady { obtzne resiteln e pr ubezn e vylepsov an ISMS (Cyklus PDCA) Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 41

Jak vytv aret dokumentaci ISMS? Pouzit n avod u a dokumentov eho n astroje pripraven eho tret stranou resen vlastnmi silami podle prototyp u prklady prototyp u: www.itgovernance.co.uk Typicky potrebn a doba: 4 { 7 mesc u { porozumen pozadavk um: 1 t yden { pl anov an:1 t yden { vypracov an politiky informacn bezpecnosti: 2 { 4 t ydny { vypracov an prohl asen o aplikovatelnost: 2 m esce { vypracov an procedur: 1 { 2 mesce { vypracov an pracovnch instrukc: 2 { 4 m esce Prnosy { rychl e resen, dostupnost znalosti nejlepsch postup u { n akladov e efektivn resen { projekt pravd epodobn e neselze dky postupu podle norem { snadneji resiteln e pr ubezn e vylepsov an ISMS (Cyklus PDCA) Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 42

Testov an Proc se testuje ISMS? Funguj procedury rzen tak jak bylo zam ysleno? Funguj bezpecnostn opatren tak jak bylo zam ysleno? Typy test u d ukladn y audit (internm nebo externm) auditorem, zkoumaj se dokumentovan e procedury a demonstruje se jejich cinnost,,paprov e"testov an, logick e testov an opatren a procedur na z aklad e znalosti zranitelnost, konstrukc opatren, projev u hrozeb,... re aln e testov an, penetracn testy, testy ztr aty energie,... rozs ahl e sc en arove orientovan e testy { testy pl anu zachov an cinnosti, Behem roku se m a testovat kazd y rys, vlastnost,... ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS 43