Bezpečnostní projekt podle BSI-Standardu 100



Podobné dokumenty
ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

ANECT, SOCA a bezpečnost aplikací

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

MOHOU TECHNOLOGIE ZVÍTĚZIT V BOJI S MODERNÍMI HROZBAMI?

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Standardy a definice pojmů bezpečnosti informací

Kybernetická bezpečnost MV

Kybernetická bezpečnost resortu MV

Efektivní řízení rizik webových a portálových aplikací

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Kybernetická bezpečnost

Bezpečnostní témata spojená se Zákonem o kybernetické bezpečnosti

Management informační bezpečnosti

Informační bezpečnost. Dana Pochmanová, Boris Šimák

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Normy a standardy ISMS, legislativa v ČR

Systém řízení bezpečnosti informací v praxi

GDPR SNADNO.info. Ing. Lukáš Přibyl, předseda NSMC Network Security Monitoring Cluster

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

Státní pokladna. Centrum sdílených služeb

Postupy pro zavedení a řízení bezpečnosti informací

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

Technické aspekty zákona o kybernetické bezpečnosti

BEZPEČNOST CLOUDOVÝCH SLUŽEB

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Bezpečnostní politika a dokumentace

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

Kľúčové pohľady. na kybernetickú bezpečnosť. Tomáš Hlavsa, Atos IT Solutions and Services

Komentáře CISO týkající se ochrany dat

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

Technická bezpečnostní opatření nejen ve smyslu ZKB. Jan Zdvořáček ASKON International s.r.o.

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok

Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts

BEZ LIDÍ TO NEPŮJDE. Ivan Svoboda, ANECT & SOCA. Pro zveřejnění

Zákon o kybernetické bezpečnosti

MFF UK Praha, 29. duben 2008

Bezpečnostní monitoring v praxi. Watson solution market

Implementace systému ISMS

Kybernetická bezpečnost Zákonná povinnost nebo existenční nutnost?

Bezpečnostní politika společnosti synlab czech s.r.o.

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

Normy ISO/IEC 27xxx Přehled norem

Bezpečnostní incidenty IS/ICT a jejich řešení

Normy ISO/IEC 27xxx Přehled norem

Demilitarizovaná zóna (DMZ)

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

ICT bezpečnost a její praktická implementace v moderním prostředí

Představení služeb DC SPCSS Státní pokladna Centrum sdílených služeb

Microsoft Services Premier Support. Implementace Zákona o kybernetické bezpečnosti

Cloud Security. Dušan Mondek. Security Specialist IBM Security Office IBM Corporation

Kybernetická bezpečnost ve státní správě

Shoda s GDPR do 4-6 měsíců! Sen či utopie?

Technická komise ISO/JTC1/SC 27 Technická normalizační komise ÚNMZ TNK 20

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Kybernetická bezpečnost od A do Z

Zavádění PKI infrastruktury v organizaci - procesní aspekty. Vlastimil Červený, Kateřina Minaříková Deloitte Advisory, s.r.o.

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

ISO/IEC certifikace v ČR. Miroslav Sedláček

Koncept aktivní bezpečnosti a spolehlivosti IT infrastruktury. Ing. Jiří Sedláček Chief of Security Experts jiri.sedlacek@nsmcluster.

Zkušenosti z nasazení a provozu systémů SIEM

IT které pomáhá a chrání. Kybernetická bezpečnost a povinnosti z ní vyplývající

Důvěryhodná dlouhodobá a garantovaná archivace (požadavky z pohledu legislativy).

AEC, spol. s r. o. Jak bezpečnost IT nastavit v souladu s business požadavky společnosti. Tomáš Strýček Internet & Komunikace Modrá 4.6.

Modelování hrozeb. Hana Vystavělová AEC, spol. s r.o.

Rizika výběru cloudového poskytovatele, využití Cloud Control Matrix

Kybernetická bezpečnost - nový trend ve vzdělávání. pplk. Ing. Petr HRŮZA, Ph.D. Univerzita obrany Brno, Česká republika

Security. v českých firmách

Technologie nových dimenzí e-government Mikulov září Fujitsu Technology Solution s.r.o. Miroslav Filipnzí

BEZ LIDÍ TO NEPŮJDE. Ivan Svoboda, ANECT & SOCA. Pro zveřejnění

Zákon o kybernetické bezpečnosti Obecný přehled ZKB se zaměřením na technická opatření

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Informatika / bezpečnost

Příloha č. 6 ZD - Požadavky na členy realizačního týmu

Zabezpečení infrastruktury

Projekt Geotým nové možnosti vzdělávání v oblasti směrnice INSPIRE. Zdeněk STACHOŇ Geografický ústav, PřF, MU zstachon@geogr.muni.

ČESKÁ TECHNICKÁ NORMA

ČESKÁ TECHNICKÁ NORMA

Řešení ochrany databázových dat

Řízení informační bezpečnosti a veřejná správa

V Brně dne a

2000s E-business. 2010s Smarter Planet. Client/Server Internet Big Data & Analytics. Global resources and process excellence

Nástroje IT manažera

Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb.

Kybernetická bezpečnost II. Management kybernetické bezpečnosti

POLICEJNÍ AKADEMIE ČESKÉ REPUBLIKY FAKULTA BEZPEČNOSTNÍHO MANAGEMENTU. DMZ z pohledu akademické sféry

KYBERNETICKÁ BEZPEČNOST V ORGANIZACÍCH

Případová studie. Zavedení ISMS dle standardu Mastercard

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Alternativní řešení pro ochranu dat, správu infrastruktury a zabezpečení přístupu. Simac Technik ČR, a.s.

Bezpečnostní politika společnosti synlab czech s.r.o.

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

Zákon o kybernetické bezpečnosti

Trask solutions Jan Koudela Životopis

Nabídka kurzů k systému řízení bezpečnosti informací (ISMS) ČSN ISO/IEC 27001:2014

Transkript:

Bezpečnostní projekt podle BSI-Standardu 100 Konference Řízení informatiky v soukromém a veřejném sektoru Ing. Stanislav Bíža 1

Agenda Postup bezpečnostního projektu Představení BSI-Standardu 100 Začlenění BSI-Standardu 100 do bezpečnostního projektu IBM Služby a nástroje IBM pro bezpečnostní projekt 2

Postup vypracování bezpečnostní politiky, analýzy rizik a navazující bezpečnostní dokumentace Bezpečnostní politika Hrozby Aktiva Zranitelnosti Analýza rizik Hodnocení souladu stávajících organizačních a technických bezpečnostních opatření Doplnění stávajících organizačních bezp. opatření Doplnění stávajících technických bezp. opatření Rizika Bezpečnostní dokumentace Zpráva z auditu kybernetické bezpečnosti Zpráva z přezkoumání systému řízení bezpečnosti informací Metodika pro identifikaci a hodnocení aktiv a pro identifikaci a hodnocení rizik Zpráva o hodnocení aktiv a rizik Prohlášení o aplikovatelnosti Plán zvládání rizik Plán rozvoje bezpečnostního povědomí Zvládání kybernetických bezpečnostních incidentů Strategie řízení kontinuity činností Plán obecně závazných právních předpisů, vnitřních předpisů a jiných předpisů a smluv... 3

Vliv externích a interních regulací Legislativní požadavky Zákon č. 101/2000 Sb. o ochraně osobních údajů Zákon č. 148/1998 Sb. o ochraně utajovaných skutečností Zákon č. 227/2000 Sb. (366/2001 Sb.) o elektronickém podpisu Zákon č. 181/2014 Sb. o kybernetické bezpečnosti Vyhlášky NBÚ, ÚOOÚ, ČNB a pod. Bezpečnostní standardy: ČSN ISO/IEC 27000 Information Security Management Systems (ISMS) standards ČSN ISO/IEC 13335 Management of information and communications technology security ČSN ISO/IEC 15408 Common Criteria for Information Technology Security Evaluation (Common Criteria) Oborové a interní bezpečnostní normy 4

Představení BSI-Standardu 100 BSI-Standard 100 (neboli IT-Grundschutz Methodology) je sada standardů vyvíjených německým Spolkovým úřadem pro informační bezpečnost. BSI-Standard 100 vychází z ISO/IEC 27000. BSI-Standard 100 poskytuje ucelenou metodiku, založenou na best practices, pro řízení životního cyklu IT bezpečnosti. BSI-Standard 100 rozšiřuje standardy ISO/IEC 27000 o praktický přístup a rozsáhlé katalogy modulů, hrozeb a bezpečnostních opatření. 5

Struktura BSI-Standardu 100 Normy BSI pro bezpečnost IT - IT Security Management BSI-Standard 100-1: ISMS: Systém řízení bezpečnosti informací (ISMS) BSI-Standard 100-2: Metodika IT Protection Baseline (IT-Grundschutz) BSI-Standard 100-3: Analýza rizik na základě IT Protection Baseline Katalogy IT Protection Baseline Kapitola 1: Úvod Kapitola 2: Model a úrovně bezpečnosti Kapitola 3: Slovník pojmů Kapitola 4: Role Katalog modulů Obecné aspekty Infrastruktura IT Systémy Datové sítě Aplikace Katalog hrozeb Katalog bezpečnostních opatření 6

Začlenění BSI-Standardu 100 do bezpečnostního projektu IBM ISO 27000 BSI-Standard 100 Katalog hrozeb IBM Method for Architecting Secure Solutions Analýza rizik Katalog modulů Obecné aspekty Infrastruktura IT Systémy Datové sítě Aplikace Katalog bezp. opatření Bezpečnostní role a procesy Logický model bezpečnostní architektury Provozní model bezpečnostní architektury 7

Katalog modulů BSI-Standardu 100-2 Úroveň 1 Úroveň 2 Úroveň 3 Úroveň 4 Úroveň 5 Obecné aspekty Infrastruktura IT Systémy Datové sítě Aplikace S 1 Common aspects S 1.0 Security management S 1.1 Organization S 1.2 Personnel S 1.3 Business continuity management S 1.4 Data backup policy S 1.5 Data protection S 1.6 Protection against malware S 1.7 Crypto-concept S 1.8 Handling security incidents S 1.9 Hardware and software management S 1.10 Standard software S 1.11 Outsourcing S 1.12 Archiving S 1.13 Information security awareness and training S 1.14 Patch and change management S 1.15 Deleting and destroying data S 1.16 Compliance management 8

Katalog hrozeb BSI-Standardu 100-2 Threat catalogues T 0 Basic threats T 1 Force majeure T 2 Organisational shortcomings T 3 Human error T 4 Tecnical failure T 5 Deliberate acts T 0 Basic threats T 0.1 Fire T 0.2 Unfavourable Climatic Conditions T 0.3 Water T 0.4 Pollution, Dust, Corrosion T 0.5 Natural Disasters T 0.6 Environmental Disasters T 0.7 Major Events in the Environment T 0.8 Failure or Disruption of the Power Supply T 0.9 Failure or Disruption of Communication Networks T 0.10 Failure or Disruption of Mains Supply T 0.11 Failure or Disruption of Service Providers T 0.12 Interfering Radiation T 0.13 Intercepting Compromising Emissions T 0.14 Interception of Information / Espionage T 0.15 Eavesdropping T 0.16 Theft of Devices, Storage Media and Documents... T 0.46 Loss of Integrity of Sensitive Information 9

Katalog bezpečnostních opatření BSI-Standardu 100-2 Safeguard catalogues S 1 Infrastructure S 2 Organization S 3 Personnel S 4 Hard- and software S 5 Communication S 6 Contingency planning S 1 Safeguard catalogues Infrastructure S 1.1 Compliance with relevant standards and regulations S 1.2 Regulations governing access to distributors S 1.3 Appropriate segmentation of circuits S 1.4 Lightning protection devices S 1.5 Galvanic separation of external lines S 1.6 Compliance with fire-protection regulations S 1.7 Hand-held fire extinguishers S 1.8 Room allocation, with due regard to fire loads S 1.9 Fire sealing of trays S 1.10 Safe doors and windows S 1.11 Plans detailing the location of supply lines S 1.12 Avoidance of references to the location of building parts requiring protection S 1.13 Layout of building parts requiring protection S 1.14 Automatic water drainage... S 1.80 Access control system and authorisation management 10

Služby IBM pro bezpečnostní projekt IBM má silné kompetence v oblasti bezpečnosti: - metodiky auditu a návrhu bezpečnostních politik/standardů založené na ISO 27000; - metodika pro návrh bezpečnostní architektury a framework bezpečnosti; - několik tisíc certifikovaných specialistů; celosvětově sdílené informace. Strategie Organizace Procesy Data / Aplikace Technologie Fyzická zařízení / Prostory Vypracování strategie řízení bezpečnosti IT Vypracování Analýzy rizik Vypracování bezpečnostních politik a standardů Bezpečnostní audit IT Příprava na certifikaci podle ISO 27001 Příprava na certifikaci podle PCI-DSS (platební karty) Audit připravenosti na obnovu systémů po havárii Návrh bezpečnostní architektury IT systémů Vybudování infrastruktury veřejných klíčů (PKI) Bezpečnostní dohled - SIEM Zabezpečení mobilních zařízení (MDM, BYOD) Bezpečné připojení k Internetu DMZ, FW, VPN... Bezpečnostní testy interní & externí 11

Nástroje IBM pro bezpečnostní projekt zabezpečení databází IBM Guardium ověřování identity uživatelů IBM Security Identity Manager, Privilege Identity Manager řízení přístupových oprávnění - IBM Security Access Manager zaznamenávání činnosti, detekce a sběr kybernetických bezpečnostních událostí QRadar SIEM aplikační bezpečnost a bezpečný vývoj aplikací IBM AppScan Standard/Enterprise, IBM AppScan Source Code ochrana integrity komunikačních sítí - firewall, Network admission control, VPN, IDS/IPS nástroje pro zajišťování úrovně dostupnosti informací - řešení High Availability a Disaster Recovery, ochrana proti DoS 12

Know What data we have and where it resides. Monitor Děkuji za pozornost.... a těším se na dotazy Ing. Stanislav Bíža Senior Architect, CISA stanislav.biza@cz.ibm.com Our Process to ensure continuous compliance and improvements. 13 Protect Our restricted and confidential data. Respond Quickly and effectively to Information Security threats.

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář