Bezpečnost informací

Podobné dokumenty
KyBez na MPO. aneb zavádění Zákona o kybernetické bezpečnosti. KyBez na MPO. Ing. Miloslav Marčan Ředitel odboru informatiky

Registr práv a povinností. PhDr. Robert Ledvinka vrchní ředitel sekce veřejné správy MV

Právní rámec ochrany osobních údajů Úřad pro ochranu osobních údajů JUDr. Alena Kučerová

Dopady zavedení registru práv a povinností na orgány veřejné moci

Fyzická bezpečnost. Druhy zajištění ochrany utajovaných informací (OUI) Ing. Oldřich Luňáček, Ph.D.

Statut bezpečnostní rady obce s rozšířenou působností Písek

PLÁNOVÁNÍ, ZÍSKÁVÁNÍ A VÝBĚR

Ing. Miloš Hrdý, MSc. bezpečnostní ředitel. Přílohy:

Evropský zemědělský fond pro rozvoj venkova: Evropa investuje do venkovských oblastí"

ITS: a traffic management and safety tool in Czech republic

Rozklad nabídkové ceny servisních služeb ve znění II. opatření k nápravě ze dne

Označování dle 11/2002 označování dle ADR, označování dle CLP

Pravidla pro publicitu v rámci Operačního programu Doprava

Metodické listy pro kombinované studium předmětu ŘÍZENÍ LIDSKÝCH ZDROJŮ. Metodický list č. 1

227/2009 Sb. ZÁKON ze dne 17. června 2009,

Obsah činnosti a složení bezpečnostní rady a krizového štábu kraje a obce s rozšířenou působností

KOMORA SOCIÁLNÍCH PODNIKŮ

Elektronické předepisování léků

PARLAMENT ČESKÉ REPUBLIKY Poslanecká sněmovna 2006 V. volební období. Návrh. Zastupitelstva hlavního města Prahy. na vydání

Omezení při používání rodenticidů

Zákon ze dne. kterým se mění zákon č. 250/2000 Sb., o rozpočtových pravidlech územních rozpočtů, ve znění pozdějších předpisů. Čl.

Rámcová osnova modulu

EUROVIA Kamenolomy, a.s. Podnik podporující zdraví

VYHLÁŠENÍ DOTAČNÍHO PROGRAMU MŠMT FINANCOVÁNÍ ASISTENTŮ

Výukový materiál zpracovaný v rámci projektu Výuka moderně

ZÁKON. ze dne 4. listopadu o zrušení civilní služby a o změně a zrušení některých souvisejících zákonů ČÁST PRVNÍ

Drážní úřad Rail Authority

Anotace: Tato prezentace je zaměřena na soustavu soudů v ČR. Zahrnuje výklad, doplňování pojmů, samostatnou práci a opakování látky.

Město Moravský Beroun náměstí 9. května 4, Moravský Beroun. Oznámení o vyhlášení výběrového řízení VŘ 5/2016

Živnostenský list je ryzím osvědčením dokládajícím, že osobě vzniklo ohlášením živnostenské oprávnění. Nejde o rozhodnutí správního orgánu ve smyslu u

Technické aspekty EET

STANDARD č. 9 Pečovatelská služba OASA Opava o.p.s. Pečovatelská služba OASA Opava

MINISTERSTVO VNITRA Poradní sbor ministra vnitra ke správnímu řádu

ZAVÁDĚNÍ ECVET V ČESKÉ REPUBLICE

POSTUP REALIZACE ŠABLONY PRO MŠ A ZŠ. Olga Ondráčková

osoba nebo jí určená osoba toho, kdo umožní fyzické osobě přístup k utajované informaci stupně utajení

Zkušenosti z implementace IS PROXIO - Město Žďár nad Sázavou Ing. Libor Vostrejš vedoucí odboru IT, Ing. Jiří Berkovec MARBES CONSULTING s.r.o.

a. vymezení obchodních podmínek veřejné zakázky ve vztahu k potřebám zadavatele,

Konference Medicína katastrof 2013

Regionální inovační strategie Libereckého kraje

Geodézie a kartografie 3 roky

V Brně dne 10. a

ZÁKON. ze dne 2015, Čl. I. Změna zákona o církvích a náboženských společnostech

Reg. č. projektu: CZ 1.04/ /A Pracovní sešit

e-sbírka a e-legislativa Odbor legislativy a koordinace předpisů Ministerstvo vnitra 13. července 2016

Změny v legislativě o radiační ochraně

Náležitosti žádosti o akreditaci vzdělávacího programu

Standardizace elektronického odbavení cestujících ve veřejné dopravě, legislativní podpora

PARLAMENT ČESKÉ REPUBLIKY Poslanecká sněmovna 2008 V. volební období. Vládní návrh. na vydání. zákona,

PC, POWER POINT, dataprojektor

Adresa příslušného úřadu

Výzva k podání nabídky Výběrové řízení

Realizační tým Zhotovitele. Oprávněné osoby. Seznam subdodavatelů. Tabulka pro zpracování nabídkové ceny. Zadávací dokumentace

Metodické centrum MZK. Konference Architektura a výstavba knihoven Hradec Králové,

VÝROČNÍ ZPRÁVA O ČINNOSTI ARCHIVU POLICIE ČESKÉ REPUBLIKY ZA ROK 2014

Přechod financování z MPSV na kraje k Seminář pro poskytovatele sociálních služeb 25. června 2014

MINISTERSTVO OBRANY. Branná legislativa MINISTERSTVO OBRANY ČR

VYHLÁŠKA MV ČR č. 444/2008 Sb., o zdravotní způsobilosti uchazeče o zaměstnání strážníka, čekatele a strážníka obecní policie

VÝROČNÍ ZPRÁVA O ČINNOSTI ARCHIVU POLICIE ČESKÉ REPUBLIKY ZA ROK 2015

Výzva k podání nabídky včetně zadávací dokumentace na veřejnou zakázku malého rozsahu

Místní Agenda 21 v ČR. Ing. arch. Marie Petrová PS URROU, 5. února 2015

92/2015 Sb. NAŘÍZENÍ VLÁDY

O D B O R K A N C E L ÁŘ HEJTMANA. datum: vyřizuje: Bc. Kamila Křížová telefon:

ZÁKON. kterým se mění a doplňuje zákon č. 289/1995 Sb., o lesích a o změně a doplnění některých zákonů (lesní zákon), ve znění pozdějších předpisů

PRÁVNÍ ZÁZEMÍ/MINIMUM PROJEKTOVÉHO MANAŽERA. Zora Říhová Vysoká škola ekonomická v Praze Fakulta informatiky a statistiky, KSA

MPA. Master of Public Administration.

Zákon o nakládání s těžebním odpadem a o změně některých zákonů

Město Nový Bydžov. NB04 - Personální strategie

Systémová podpora profesionálního výkonu sociální práce Možnosti využití profesiogramu při konstrukci vzdělávacího programu

Podpora personálních procesů v HR Vema

MEZI ČESKOU REPUBLIKOU A ŠVÉDSKÝM KRÁLOVSTVÍM UTAJOVANÝCH INFORMACÍ

NÁVRH STANOVISKA. CS Jednotná v rozmanitosti CS 2011/0297(COD) Výboru pro právní záležitosti. pro Hospodářský a měnový výbor

GIS HZS ČR pro ORP a přednostní připojení k veřejné komunikační síti

TECHNOLOGICKÁ PLATFORMA SILNIČNÍ DOPRAVA

Změny v právních předpisech s dopady na RÚIAN. Marika Kopkášová

ČÁST I. IDENTIFIKACE ŽADATELE: Vyplňte, popř. proškrtněte

Projekty MV pro Prahu. Ing. Jaroslav Svoboda

Základníregistry. Finanční náročnost plán x skutečnost

ISÚI Informační systém územní identifikace Proč? Co? Kde? Kdo? Jak? Kdy?

Žádost o zápis uzavření manželství

ČESKÁ ŠKOLNÍ INSPEKCE. Inspekční zpráva

Vysoká škola technická a ekonomická v Českých Budějovicích. Institute of Technology And Business In České Budějovice

VNITŘNÍ KONTROLNÍ SYSTÉM řídící kontrola

Informace o výsledcích kontrol provedených Magistrátem města Jablonec nad Nisou v roce 2015: Počet provedených kontrol Kontrolované

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

PODMÍNKY PRO ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ V PRAXI

1. Přehled formulářů pro evidenci akce(projektu) v informačním systému

462/2000 Sb. NAŘÍZENÍ VLÁDY

Strategie rozvoje Mikroregionu Kahan

Individuální přístup ke klientům trpící syndromem demence. Marie Báňová

Elektronický spis v agendě elektronického platebního rozkazu. Nový systém CEPR

? Tři pilíře: Jednoznačná zodpovědnost Způsoby finančního krytí Spolupráce

Příloha č. 1 zadávací dokumentace KRYCÍ LIST NABÍDKY. 1. Veřejná zakázka

OBEC Babice Zastupitelstvo obce Babice Obecně závazná vyhláška č. 1/2016 kterou se vydává požární řád obce

Relevantní legislativa

Příloha je nedílnou součástí osvědčení o akreditaci č.: 97/2016 ze dne: List 1 z 7

neviditelné a o to více nebezpečné radioaktivní částice. Hrozbu představují i freony, které poškozují ozónovou vrstvu.

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

Transkript:

Bezpečnost informací seminář uchazečů o grantovou podporu MŠMT a řešitelů grantových projektů Praha 10.10. 2012 Ing. Miroslav Fryšar Soudní znalec v oboru ochrany osob, majetku a informací, utajovaných informací a bezpečnosti informačních systémů

Motto: Informace znamená všechno, za války jako v míru, politice jako ve finanční sféře Stefan Zweig Mají-li informace tak zásadní význam v našem ţivotě, pak si zaslouţí, abychom jejich ochraně věnovali pozornost!

Jak se ve vztahu k informacím chováme?

P Proč se zabývat informační bezpečností Splnění poţadavků právních norem ( eliminace rizika sankcí ze strany orgánů státního dozoru) Ochrana předmětu výzkumu (před konkurencí, cizí mocí, obchodníky s informacemi ) Zajištění odolnosti/funkčnosti IS (vnitřní / vnější útok) Ochrana před kriminálními činy Naplnit obecný poţadavek odpovědného hospodáře

P Místo OI v systému bezpečnostních procesů organizace

O čem budeme hovořit 1. Bezpečnost informací obecný úvod do problematiky 2. Bezpečnost informací z pohledu subjektů účastných na grantových projektech 3. Závěr

Proč právě já o těchto otázkách hovořím? Ing. Miroslav Fryšar Předseda představenstva a generální ředitel frysarm@fsc-ov.cz

Organizace - 13:30-15:30-13:30-14:45 přednáška - 14:45-15:00 dotazy - 15:00 15:30 vyplnění dotazníku

1. Bezpečnost informací obecný úvod do problematiky

Bezpečnost pracovní definice Bezpečnost chápeme jako otevřený proces permanentní identifikace a analýzy rizik a práce s riziky, zaměřené na sníţení rizikové zátěţe na akceptovatelnou úroveň. Preventivní opatření Represivní opatření Standardní bezpečnostní situace Nestandardní bezpečnostní situace (MU; KS; mobilizační potenciál BS)

Základní otázky, které si klademe Co chránit Proti čemu chránit Jak to chránit Metody, prostředky, postupy efektivní ochrany Jak ochranu řídit v čase

Informace jako aktivum V nejobecnějším smyslu je informace chápána jako údaj o prostředí, o jeho stavu a procesech v něm probíhajících. IN: WikipediE

Z čeho vychází konkrétní přístup k ochraně informací? Základní znaky informace Dislokace informačních aktiv Správa informačních aktiv

Znaky informace Informace Obsah Forma Hodnota Nezaznamenané Zaznamenané písmo obraz vzorek kód Elektronický záznam klasifikované neklasifikované UI (z.č. 412/2005 Sb. o OUI a BZ) OÚ (z.č. 101/2000 Sb. o OUI) OT (z.č. 140/1961 Sb. TŘ; 513/1991 Sb. Obch.zákoník ) Pošt.taj. (z.č.29/2000 Sb. o poštovních službách) Zvl.skut. (z.č. 240/2000 Sb. o KŘ)

Dislokace a správa informačních aktiv Dislokace aktiv Vlastní úložiště Outsourcované úložiště Cloud Správa informačních aktiv Existuje definovaný systém Je stanovena adresná odpovědnost Je stav průběžně monitorován? Pracuje se s poznatky Je systém průběžně zdokonalován

Ochrana utajovaných informací Zákon č. 412/2005 Sb. o ochraně utajovaných informací a o bezpečnostní způsobilosti Nařízení vlády č. 522/2005 Sb., kterým se stanoví seznam utajovaných informací, ve znění novelizovaného nařízení vlády č. 240/2008 Sb. Utajovaná informace informace v jakékoliv podobě, zaznamenaná na jakémkoliv nosiči, označená v souladu s tímto zákonem, jejíž vyzrazení nebo zneužití může způsobit újmu zájmu České republiky nebo může být pro tento zájem nevýhodné, a která je uvedena v seznamu utajovaných informací

Stupně utajení Utajovaná informace se klasifikuje stupněm utajení: ( 4, zákona č. 412/5005 Sb. o OUI ) a) Přísně tajné, jestliže její vyzrazení neoprávněné osobě nebo zneužití může způsobit mimořádně vážnou újmu zájmům České republiky, b) Tajné, jestliže její vyzrazení neoprávněné osobě nebo zneužití může způsobit vážnou újmu zájmům České republiky, c) Důvěrné, jestliže její vyzrazení neoprávněné osobě nebo zneužití může způsobit prostou újmu zájmům České republiky, d) Vyhrazené, jestliže její vyzrazení neoprávněné osobě nebo zneužití může být nevýhodné pro zájmy České republiky.

Systém OUI Druhy zajištění ochrany utajovaných informací 5 zákona č. 412/2005 o OUI Personální bezpečnost Hlava 2 zákona č. 412/2005 o OUI Vyhláška č. 363/2011 Sb. Administrativní bezpečnost Hlava 4 zákona č. 412/2005 o OUI Vyhláška č. 433/2011 Sb. Bezpečnost IS a KS Hlava 6 zákona č. 412/2005 o OUI Vyhláška č. 453/2011 Sb. Průmyslová bezpečnost Hlava 3 zákona č. 412/2005 o OUI Vyhláška č. 405/2011 Sb. Fyzická bezpečnost Hlava 5 zákona č. 412/2005 o OUI Vyhláška č. 454/2011 Sb. Kryptografická ochrana Hlava 7 zákona č. 412/2005 o OUI Vyhláška č. 432/2011 Sb. V vyhláška č. 434/2011 Sb.

Prokazování oprávnění k přístupu Subjekt Stupeň utajení Fyzická osoba Podnikatel Vyhrazené Oznámení o splnění podmínek pro přístup k UI Poučení Prohlášení schopnosti zabezpečit ochranu utajovaných informací Důvěrné Přísně tajné Osvědčení fyzické osoby Osvědčení podnikatele

Ochrana osobních údajů (1) Právní normy: Ústavní zákon číslo 2/1993 Sb., o vyhlášení Listiny základních práv a svobod jako součásti ústavního pořádku České republiky Směrnice Evropského parlamentu a Rady 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů Zákon číslo 101/2000 Sb. o ochraně osobních údajů a o změně některých zákonů

Ochrana osobních údajů (2)

Zavedení a řízení systému OOÚ Vyhodnotit výskyt OÚ ve zpracování a klasifikovat je (OÚ / CÚ ) Identifikovat hrozby 1. Zpracovat analýzu rizik 2. Zdokumentovat přijatá technicko-organizační opatření OOÚ 3. Zpracovat Směrnici pro ochranu osobních údajů Prokazatelně seznámit dotčené osoby 4. CCTV se záznamem splnit registrační povinnost 5. Řídit systém ochrany OÚ Kontrolovat a posuzovat účinnost Identifikovat změny podmínek Přijímat opatření

Ochrana dalších důleţitých informací Ochrana dalších důležitých informací Interní klasifikace Analýza rizik ( kritičnost ; BCM) Princip Need to know Výběr lidí (interní pravidla personální bezpečnosti) Prokazatelné poučení Zdokumentování systému (interní směrnice) Konkrétní odpovědnost Permanentní kontrola a řešení neshod / incidentů Audit a aktualizace systému

Proti čemu chránit (hrozba / riziko) Hrozba potenciální zdroj rizika Hrozba Antropogenní Nepřátelský úmysl Selhání- chyba -omyl Neantropogenní Živelní Technologické Kolaps sociálního systému

Proti čemu chránit (hrozba / riziko) Riziko potenciál naplnění hrozby Složky rizika Pravděpodobnost Zranitelnost Kritičnost Ústředním problémem analýzy rizik je jejich operacionalizace. Pojmová (Např. extrémní vysoká nízká zanedbatelná ) Numerická Metody analýzy rizik (řada; princip best practice ; omezená universálnost) CRAMM analýza rizik v informačních systémech

Budování bezpečnostního systému organizace Rozhodnutí vedení Management fungování a rozvoje Implementace Projekty Varianta PDCA Identifikace potřeb Zájmy / plány Aktiva Hrozby Analýza rizik Bezpečnostní politika organizace

Bezpečnostní politika Shrnuje odpovědi na všechny otázky (včetně zbývajících- jak, metody, prostředky, postupy, jak ochranu řídit )

Obsah BEPO obecně 1) Cíle organizace a cíle BEPO 2) Analýza rizik 3) Bezpečnostní systém a) Bezpečnostní priority b) Práce s riziky ( zabránění rizikům; snížení rizik; akceptace rizik; převod rizik; rozložení rizik) c) Prvky bezpečnostního systému a jejich výstavba (etapy; finanční, lidské a organizační zdroje; rozsah outsourcingu služeb) 4) Management bezpečnosti (organizační složení; personální obsazení; plánování zdrojů; pravomoci; bezpečnostní dokumentace; metrika hodnocení účinnosti bezpečnostního systému)

BEPO a bezpečnostní dokumentace (zdokumentování systému) Obsah BEPO v podstatě standardní V případě BEPO IS (ČSN ISO/IEC 27001) - SPECIFIKA (viz: dále)

ISMS

ISMS - preambule 1) Deklarace závaznosti 2) Vůle vedení naplňovat napříč všemi ostatními procesy 3) Vazba na strategické cíle společnosti 4) Cíle BEPO IS 5) Strategie zlepšování 6) Soulad s právními normami Tato část BEPO bývá zveřejňována samostatně jako bezpečnostní politika. Plní přednostně funkce posilování image organizace, informovanosti a mobilizace zaměstnanců. Nezaměňovat za vlastní BEPO.

ISMS shrnutí základních zásad Obecný normativní základ ISO 27001 (ISMS Information Security Management System )

2. Bezpečnost informací z pohledu subjektů účastných na grantových projektech

Opatření k ochraně informací v rámci grantových projektů Nezbytnou součástí výstupů projektů typu projekt- výstavba provoz zařízení by mělo být: projektování způsobu zajištění ochrany před protiprávním nakládáním s informacemi (v obecné rovině před protiprávními činy; v přiměřeném rozsahu prezentovaného). Vlastními silami Subdodavatelem

Nejčastější chyby při ochraně informací Není provedena analýza bezpečnostních rizik Není definována odpovědnost za bezpečnost IS Chybí bezpečnostní směrnice pro uživatele IS Nejsou splněny podmínky pro ochranu klasifikovaných informací Není řešena bezpečnost zálohy dat Není nastavena bezpečnostní politika práce s přenosnými médií pro ukládání dat

Nejčastější chyby při ochraně informací Nedůsledné zajištění přístupových oprávnění k jednotlivým IS a jejich částem Není nastaven postup při řešení bezpečnostních incidentů Bezpečnost IS není prověřován audity a penetračními testy Absence bezpečnostních školení pro uživatele IS Nedostatky v zajištění fyzické bezpečnosti IS Pořizování nelegálních SW Neaktualizované antivirové SW

3. Závěr

MŠMT vnímá tuto problematiku jako VYSOCE ZÁVAŢNOU! Proto zorganizovalo tento seminář. Nyní je na Vás jak se s touto problematikou vypořádáte.

Memento ochrany informací ZVONEK Vám nedovolí zaspat správný čas!

Děkuji za pozornost Případné dotazy zasílejte na adresy: fscsekretaria@fsc-ov.cz nebo haisz@fsc-ov.cz

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář