Řízení informační bezpečnosti a veřejná správa

Podobné dokumenty
Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.

V Brně dne 10. a

Implementace systému ISMS

1. KURZ č. 1 - QMS - Školení a výklad normy ČSN EN ISO 9001: KURZ č. 2 - QMS - Školení interních auditorů QMS a metrologa

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

MANAŽER SM BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.10/2007

Systém řízení informační bezpečnosti (ISMS)

Politika bezpečnosti informací

srpen 2008 Ing. Jan Káda

ČESKÁ TECHNICKÁ NORMA

Bezpečnost na internetu. přednáška

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi října 2011 r

EMS - Systém environmentálního managementu. Jiří Vavřínek CENIA

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

V Brně dne a

Případová studie. Zavedení ISMS dle standardu Mastercard

Věstník ČNB částka 18/2010 ze dne 21. prosince ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

Gradua-CEGOS, s.r.o. AUDITOR BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI. CS systémy managementu organizací verze 2, 8.2, b) 1.

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Metodický dohled - jak správně ošetřit požadavky legislativy ICT projektu Jan Heisler, Relsie, spol. s r.o.

Bezpečnostní politika společnosti synlab czech s.r.o.

Pelantová Věra Technická univerzita v Liberci. Předmět RJS. TU v Liberci

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

egrc řešení - nástroj pro efektivní řízení bezpečnosti dle kybernetického zákona Marian Němec AEC a.s.

Politika bezpečnosti informací

Státní pokladna. Centrum sdílených služeb

Management bezpečnosti informací dle ISO 27001:2006. Zkušenosti se zaváděním ve společnosti SYSCOM SOFTWARE s.r.o.

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Kybernetická bezpečnost resortu MV

BEZPEČNOSTI INFORMACÍ

Bezepečnost IS v organizaci

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

Co je a co není implementace ISMS dle ISO a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o.

Úvod. Projektový záměr

MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.8/2007

Kybernetická bezpečnost

Řízení rizik. RNDr. Igor Čermák, CSc.

Obsah. Příloha č. 2: Standardy a doporučení Verze:

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

SMĚRNICE DĚKANA Č. 4/2013

Dokumentace pro plánování a realizaci managementu jakosti dle požadavků

Kybernetická bezpečnost MV

Řízení kybernetické a informační bezpečnosti

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok

Příklad I.vrstvy integrované dokumentace

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Zkušenosti z naplňování ZKB: Audit shody se ZKB. Ing. Martin Konečný,

Co je riziko? Řízení rizik v MHMP

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Zákon o kybernetické bezpečnosti a jeho implementace aktuálně

AUDITOR EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.9/2007

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

Operační program Vzdělávání pro konkurenceschopnost Název projektu: Inovace magisterského studijního programu Fakulty ekonomiky a managementu

Hodnocení rizik v resortu Ministerstva obrany

ISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA

Požadavky a principy ISMS

Nástroje IT manažera

Systém managementu jakosti ISO 9001

1. Politika integrovaného systému řízení

Platná od Bezpečnostní politika. Deklarace

Management informační bezpečnosti

GDPR SNADNO.info. Ing. Lukáš Přibyl, předseda NSMC Network Security Monitoring Cluster

Inovace bakalářského studijního oboru Aplikovaná chemie

Bezpečnostní politika a dokumentace

WS PŘÍKLADY DOBRÉ PRAXE

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Zkouška ITIL Foundation

2. setkání interních auditorů ze zdravotních pojišťoven

Shoda s GDPR do 4-6 měsíců! Sen či utopie?

AUDITOR KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.5/2007

Implementace BEZPEČNOSTNÍ POLITIKY v organizaci. RNDr. Luboš Číž, CISA, CISM DCIT, a.s.,

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

ČESKÁ TECHNICKÁ NORMA

Organizační opatření, řízení přístupu k informacím

ČSN EN ISO (únor 2012)

O autorech Úvodní slovo recenzenta Předmluva Redakční poznámka... 18

Bezpečnostní opatření a audit shody se ZKB. Ing. Martin Konečný,

MEZINÁRODNÍ NORMY A DIGITÁLNÍ KONTINUITA. Tomáš Bezouška Praha,

5 ZÁKLADNÍ PRINCIPY SYSTÉMOVÉHO ŘÍZENÍ BOZP

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Školení QMS pro zaměstnance společnosti ČSAD Tišnov, spol. s r.o.

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

DOTAZNÍK příloha k žádosti

Bezpečnostní normy a standardy KS - 6

Zákonné povinosti v oblasti energetické účinnosti. Ing. Simon Palupčík, MBA

Zkušenosti z nasazení a provozu systémů SIEM

ZÁKLADNÍ NABÍDKA SLUŽEB

Nástroje IT manažera

Představení služeb DC SPCSS Státní pokladna Centrum sdílených služeb

Transkript:

Řízení informační bezpečnosti a veřejná správa Kladno 1.prosince 2008 Doc.RNDr. Milan BERKA, CSc.

Systém řízení informační bezpečnosti Různé certifikace bezpečnosti a jejich význam NBÚ, ISO, Objekty a zařízení IS Normy BS 7799, ČSN ISO/IEC 17799, ISO ISO/IEC 27000, ČSN ISO/IEC 25000, ČSN ISO TR 13335, ISO TR 14516 ČSN ISO/IEC 15408, ČSN ISO/IEC 19000, Legislativa - dopady Zákon 128, 129, 365 o informačních systémech ve veřejné správě Zákon o elektronických komunikacích SPAM pokuta 10 mil.kč Autorský zákon nelegální SW milionové pokuty Zákon o ochraně osobních údajů pokuta 10-50 mil. Kč Vyhláška 529 k zákonu 365 dnes - ISMS rok 2011 Organizace zavádění do praxe organizační zastřešení rozhodnutí vedení organizace, role stanovení priorit atd.

Nesete následky Neřešení bezpečnosti Napadení telefonních ústředen 9 mil. Neoprávněné volání přes GSM bránu. Napadení VoIP služeb přes SIP 100 000 Euro škoda neoprávněná zahraniční volání, jiný operátor 600 000 škoda. Nelegální SW nejmenovaná organizace 8 mil. škoda a povinnost dokoupit SW, soudní řízení s managementem Rozesílání nevyžádaných e-mailů zaměstnanec rozesílal nabídky z firemního mailu, UOOU 10 mil. Pokuta Únik osobních dat zaměstnance nejmenovaná organizace 7 mil. Pokuta Vše za posledních 6 měsíců. Za rok předtím jsem registroval pouze jednu kauzu. Roční nárůst o 1 000 %.

Postup při implementaci Rozhodnutí vedení o zavádění ISMS - existuje Stanovení rozsahu a struktury ISMS Politika ISMS schválení vedením (jedna strana A4) Zavedení systematického řízení rizik AR - IT Stanovení bezpečnostních politik CBP schválí vedení (pět stran A4), ostatní vydá a schválí IT Implementace a provoz ISMS IT nebo dle návrhu org.struktury Monitorování a přezkoumávání ISMS audity, zprávy IT schvaluje vedení Údržba a zlepšování ISMS rutinní provoz té věci

Postup při implementaci

Analýza a řízení rizik Metodika (mnoho možných metodik ) CRAMM ALE CORAX COBIT Určení aktiv Určení hrozeb Určení zranitelností Výpočet rizika a následků Určení možných protiopatření (z normy 136, technických, organizačních a dalších) Modelování změny rizik Výběr vhodných maximální efekt s minimálními náklady Opakování cyklu

Analýza rizik Aktiva Stanovit přesně čím se budeme zabývat seznam aktiv HW evidence, nákup, inventarizace SW evidence, licence, nákupy, inventarizace Aplikace Lidé Informace ve všech formách (včetně papíru, medií, systémů) Odpovědnost vlastník / správce Správa Hodnota aktiva cena, ztráta z výpadku, nedostupnosti, zničení Návaznosti mezi aktivy Výše ohodnocení aktiva zvyšuje riziko

Analýza rizik Hrozby Co kterému aktivu hrozí část obecně z normy ISO 13335 Hrozby ze zkušenosti Klasifikace hrozeb Statistika incidentů Obecné tabulky Ohodnocení hrozeb Výše hrozby zvyšuje riziko Zranitelnosti Možnost uplatnění hrozby Ohodnocení Výše zranitelnosti zvyšuje riziko

Analýza rizik Opatření (protiopatření) Ochrana aktiva proti hrozbě Ohodnocení vyjadřuje účinnost Snižuje riziko Riziko Závisle proměnná, přímo úměrná hodnotě aktiva, přímo úměrná velikosti hrozby, přímo úměrná zranitelnosti a nepřímo úměrná přijatým opatřením Parametr pravděpodobnost charakterizuje to, že se hrozba na aktivum skutečně uplatní, jde o výskyt dané události Řešení rizika Přijetí rizika Přenesení na dodavatele nebo pojišťovnu Plán snižování rizik

hodnota rizika Snižování maximálních rizik Snižování rizik maximální rizika na aktivech 40 35 30 25 20 Řada3 Řada2 Řada1 15 10 5 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 hrozba

sumární riziko Snižování sumárních rizik Snižov ání rizik hrozby sumárně 3000 2500 2000 Řada3 1500 Řada2 Řada1 1000 500 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 hrozba

maximální riziko Snižování rizik po aktivech Rizika po aktiv ech 50 45 40 35 30 25 20 Řada3 Řada2 Řada1 15 10 5 0 1 6 11 16 21 26 31 36 41 46 51 56 61 66 71 76 81 86 91 96 101 106 111 116 121 126 131 136 141 146 151 156 161 166 171 aktiva

Plán snižování rizik Opatření Politika ISMS vytvoření a schválení politiky ISO/IEC 27001 Kap.4-8 Bezpečnostní politiky vytvoření a schválení struktury politik a předpisů ISO/IEC 27001 Kap.4-8 ISO/IEC 17799 Kap.5 Definice PoA Prohlášení o aplikovatelnosti (specifikuje schválené opatření k realizaci dle opatření ISO) Křížová kontrola vůči příloze A normy ISO/IEC 27001, aby nebyly opomenuté žádné cíle či opatření potřebné pro ISMS organizace. ISO/IEC 27001 Kap.4-8 Odpovědnost, termín, zdroje leden, únor 2008 20 000,- 50 hodin březen duben 2008 80 000,- 200 hodin Duben 2008 interně 30 hodin

Politika ISMS a Bezpečnostní politika informací Bezpečnostní politika, jak vyplývá z požadavku normy je povinný dokument. Vychází ze specifických podmínek organizace, jejich procesů, struktury a používaných aktiv. Tento povinný dokument musí být schválen vrcholovým vedením organizace a musí s ním seznámeni všichni zaměstnanci organizace. Minimální obsah politiky ISMS je následující: cíle v oblasti ISMS, celková strategie a rámec zásad ISMS požadavky vyplývající z hlavních činností organizace, legislativní, normativní požadavky a smluvní závazky, organizační a odpovědnostní strukturu a vazby informační bezpečnosti v systému řízení organizace stanovení kritérií a způsobu řízení rizik a základní bezpečnostní opatření

Organizace dokumentace Směrnice, předpisy, postupy, řády,.. Celková bezpečnostní politika Bezpečnostní politika informací Bezpečnostní politika systému XYZ - RAS, Autentizace, Autorizace, Účetnictví, Přístup do objektů, Utajované skutečnosti,... Bezpečnostní projekty / Plány zvládání rizik Podřízenost a nadřízenost předpisů Co kde uvádět?

Obsah dokumentů Jeden velký dokument / mnoho menších? Strategie Taktické cíle Postupné upřesňování pravidel Implementace opatření Např. politika přístupu k informacím, zálohování dat, různé systémy různá pravidla, technické prostředky atd.

Požadavky na dokumentaci Rozsah a předmět ISMS Kvalifikace informací z hlediska citlivosti k ISMS Seznam aktiv Řízení dokumentů Řízení záznamů Řízení neshod Řízení nápravných opatření Řízení preventivních opatření Interní audity ISMS Analýza a hodnocení rizik Zpráva o hodnocení rizik Plán řízení rizik ( cíle a programy řízení rizik) Prohlášení o aplikovatelnosti ( POA) Dokumentované postupy nezbytné pro zajištění efektivního fungování a provozu ISMS Plány havárie a obnovy ( Disaster Recovery Plan DRP) Plány kontinuity podnikání ( Business Continuity Planning BCP)

Popisy procesů řízení dokumentace ISMS pravidla jsou stejná jako u dokumentace systému jakosti dle ISO 9001 zacházení s informacemi ve všech jejich formách, včetně klasifikace informací a výměny s jinými organizacemi, řízení přístupů do ISMS správa počítačové sítě, zejména ve vztahu k bezpečnosti používaných síťových služeb, fyzická bezpečnost, práce v bezpečnostních zónách a ochrana zařízení a médií, šifrování, nasazování šifrovacích prostředků a správa klíčů, management bezpečnostních incidentů, rozpoznávání incidentů, slabin a selhání, ohlašování, vyšetřování, informování, vyhodnocování, poučení z chyb a disciplinární proces, řízení změn, schvalování prostředků k nasazení, iniciování, řešení, testování a realizace velkých a malých změn, kontrolní činnost, protokolování užití systému a monitoring, ověřování technické shody, řízení kontinuity činností, plánování, formulace a dokumentace havarijních plánů a plánů obnovy funkčnosti, testování plánů

Vedení záznamů - doložení fungování pravidel Záznamy mohou být vedeny libovolnou formou písemně, elektronicky, v textovém, databázovém, tabulkovém nebo jiném formátu za podmínky že jsou: identifikovatelné umožňují v předem stanoveném rozsahu vyhledávání jsou přístupné autorizovaným osobám, resp. procesům jejich identifikace, uložení, ochrana, vyhledávání a přístupnost je dokumentována vedení každého záznamu musí být definováno v příslušné směrnici, resp. popisu procesu

Plány v rámci bezpečnosti IS Plán zachování kontinuity (hlavních činností) - BCP Plán zálohování a obnovy - DRP Havarijní plány (pro jednotlivé IS) a seznam všech havarijních plánů Plán testování havarijních plánů. Plán bezpečnostní výchovy a školení. Plán auditů ISMS

Zásady pro implementaci ISMS Bezpečnost informací něco stojí investované prostředky by měly produkovat výsledek a ne pouze nákladný konzultační proces Bezpečnost informací se musí stát prioritou vrcholového vedení Míra bezpečnosti by měla být úměrná škodě, která může být způsobena Bezpečnost informací není jednorázový akt, ale nikdy nekončící řízený proces Přehnané nároky na bezpečnost jdou na úkor funkcionality Nejúčinnější je bezpečnost, která se řeší od začátku implementace integrovaného systému a je jeho integrální součástí Prolomení bezpečnosti může zabránit kombinace opatření na několika vrstvách (organizační, personální, objektová, technická, komunikační, provozní, programová) Bezpečnost informací je multioborová problematika, kterou nezvládne běžný správce IS, administrátor ani programátor Bez důkladného a kontinuálního vzdělávání zaměstnanců v oblasti ISMS nelze provozovat sebelépe implementovaný systém Bezpečnost informací nesmí být překážkou podnikání, úspěšné podnikání není možné bez zajištění bezpečnosti informací Bezpečnostní manažer musí být podřízen pouze vrcholovému vedení nebo musí být nezávislý Vyvarovat se firem nebo jednotlivců, kteří o sobě prohlašují, že ISMS rozumí Implementace technologických prostředků není implementací ISMS Nikdy nevyloučíte škody a rizika zcela, můžete je pouze minimalizovat

Děkuji za pozornost Milan.Berka@gmail.com

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář