Systém řízení informační bezpečnosti (ISMS)

Podobné dokumenty
3.přednáška. Informační bezpečnost: Řízení IS/IT

Řízení rizik. RNDr. Igor Čermák, CSc.

Normy a standardy ISMS, legislativa v ČR

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Vnitřní kontrolní systém a jeho audit

ČESKÁ TECHNICKÁ NORMA

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

Státní pokladna. Centrum sdílených služeb

MEZINÁRODNÍ NORMY A DIGITÁLNÍ KONTINUITA. Tomáš Bezouška Praha,

ISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Jan Hřídel Regional Sales Manager - Public Administration

Organizační opatření, řízení přístupu k informacím

Řízení informační bezpečnosti a veřejná správa

Analýza rizik a pokročilý monitoring bezpečnosti sítí v prostředí kybernetických hrozeb Dr. Igor Čermák

Otázky kurzu 4IT417 Řízení podnikové informatiky verze z 1/2/ Podniková informatika pojmy a komponenty

2.přednáška. Informační bezpečnost: Systém řízení informační bezpečnosti (ISMS)

Požadavky ISO 9001:2015 v cyklu PDCA Požadavky ISO 9001:2015 v cyklu P-D-C-A

Dotazník pro rychlé hodnocení společenské odpovědnosti firem (CSR)

Management informační bezpečnosti

Vazba na Cobit 5

EMS - Systém environmentálního managementu. Jiří Vavřínek CENIA

Model systému managementu pro řízení ÚSC. Ing. Štěpán Kmoníček, Ph.D. odbor strategického rozvoje a koordinace veřejné správy

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi října 2011 r

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Implementace BEZPEČNOSTNÍ POLITIKY v organizaci. RNDr. Luboš Číž, CISA, CISM DCIT, a.s.,

Bezpečnostní politika společnosti synlab czech s.r.o.

Co je a co není implementace ISMS dle ISO a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o.

1. Politika integrovaného systému řízení

Informační bezpečnost. Dana Pochmanová, Boris Šimák

Z K B V P R O S T Ř E D Í

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

BEZPEČNOSTNÍ ROLE. a jejich začlenění v organizaci

Bezepečnost IS v organizaci

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

Informační strategie. Doc.Ing.Miloš Koch,CSc.

WS PŘÍKLADY DOBRÉ PRAXE

2. Podnik a jeho řízení

O2 a jeho komplexní řešení pro nařízení GDPR

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok

Zpráva o činnosti a výstupech interního auditu ČT

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

MANAŽER SM BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.10/2007

komplexní podpora zvyšování výkonnosti strana 1 Využití Referenčního modelu integrovaného systému řízení veřejnoprávní korporace Město Hořovice

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

Bezpečnostní politika společnosti synlab czech s.r.o.

S T R A T E G I C K Ý M A N A G E M E N T

Předmluva: Vítejte v ITIL! Úvod 15 IT Infrastructure Library O této knize ITIL (IT Infrastructure Library ) 1.3. Služby a správa služeb

Vytváření důvěry manažerů byznysu a IT

Zákon o kybernetické bezpečnosti a jeho implementace aktuálně

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007

Politika ISŘ. Je-li tento dokument vytištěn, stává se neřízeným. MERO ČR, a. s. Veltruská 748, Kralupy nad Vltavou R-GŘ-04

Pelantová Věra Technická univerzita v Liberci. Předmět RJS. TU v Liberci

Bezpečnost na internetu. přednáška

Implementace systému ISMS

METODIKY ŘÍZENÍ ICT: ITIL, COBIT, IT GOVERNANCE

Návrh aktualizace rámce COSO vymezení ŘKS 2. setkání interních auditorů z finančních institucí

Základy řízení bezpečnosti

Představení projektu Metodika

Inovace bakalářského studijního oboru Aplikovaná chemie

Věstník ČNB částka 18/2010 ze dne 21. prosince ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

Strategické řízení IS v podmínkách VS přínosy a problémy

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Audity ISŘ. Je-li tento dokument vytištěn, stává se neřízeným. MERO ČR, a. s. Veltruská 748, Kralupy nad Vltavou SJ-GŘ Lenka Šloserová v. r.

Řízení kybernetické a informační bezpečnosti

Risk management a Interní audit

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

INFORMACE O ZAVEDENÉM SYSTÉMU KVALITY dle normy ČSN EN ISO 9001:2009 ve společnosti

Systém managementu jakosti ISO 9001

Školení QMS pro zaměstnance společnosti ČSAD Tišnov, spol. s r.o.

Obecné nařízení o ochraně osobních údajů

Ing. Miroslav Tůma, Ph.D. Ředitel odboru kybernetické bezpečnosti a koordinace ICT Ministerstvo vnitra

Management rizika Bc. Ing. Karina Mužáková, Ph.D. BIVŠ,

Zpracování a udržování Registru právních a jiných požadavků

Cena za inovaci v interním auditu. Dynamické řízení rizik skrze integrovaný systém kontrolního prostředí 1

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

V Brně dne a

Systém managementu Úřadu městské části Brno-střed - procesní řízení samosprávních agend využití ukazatelů

Jak auditovat systémy managementu bez příruček a směrnic Ing. Milan Trčka

Rozdíly mezi normou ISO 9001:2008 a ISO 9001:2015.

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

PRIMÁRNÍ SYSTÉM DOHLEDU Z POHLEDU MANAŽERA. Eva Janoušková

Procesy, procesní řízení organizace. Výklad procesů pro vedoucí odborů krajského úřadu Karlovarského kraje

Profesionální a bezpečný úřad Kraje Vysočina

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

Příručka jakosti a environmentu

Shoda s GDPR do 4-6 měsíců! Sen či utopie?

KYBERNETICKÁ BEZPEČNOST VE SKUPINĚ ČEZ V ROCE 2016

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.8/2007

Outsourcing v podmínkách Statutárního města Ostravy

Role NKÚ v systému kontrolní činnosti ve veřejné správě. Ing. Miloslav Kala, viceprezident NKÚ Praha, 11. dubna 2012

Transkript:

Systém řízení informační bezpečností (ISMS) RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost, MI-IBE, zimní semestr 2011/2012, Přednáška 4 MI-POA Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti Informační bezpečnost (MI-IBE) 4.přednáška Systém řízení informační bezpečnosti (ISMS) 1

Role manažerů v oblasti IS/IT a informační bezpečnosti Role manažerů Vyplývá z principů IT Governance: Řízení IT je součástí řízení organizace Důraz na aktivní zapojení IT do tvorby a naplnění firemní strategie Strategie organizace a její business cíle určují strategii IT Požadavky IT ovlivňují strategii organizace Jde o propojení řízení IT s řízení celé organizace Začlenění IT Governance do systému řízení IT Strategické řízení IT IT Governance COBIT (manažerský framework pro plánování, řízení a kontrolu IS/ICT) Taktické a operativní řízení IT ITIL (procesní nástroj a popis best-practices pro provoz a rozvoj IS/ICT infrastruktury a služeb Využití norem (např. ISO/IEC 20000. ISO/IEC 2700x apod.) 2

Role manažerů role ředitele (manažera) informatiky (IS/IT) - (Chief Information Officer - CIO): Orientace IS/ICT na základní cíle podniku (obchodní orientace) Spolupodílet se na formulaci těchto cílů (inicializace cílů využívající nové možnosti IS/ICT) Zajištění integrity IS/ICT podniku a koordinace všech projektů Pozice CIO v organizaci a jeho vliv na globální strategii organizace Závisí v zásadě na tom, jak je řízeno IS/ICT v organizaci A zda je či není členem vrcholového vedení organizace Role manažerů - CISO IT Security Manager Chief Information Security Officer (CISO): Ochrana informačních aktiv organizace Před ztrátou (důvěrnost aktiv, dostupnost aktiv) Před zneužitím (důvěrnost aktiv) Před pozměněním nebo poškozením (integrita a dostupnost aktiv) Informační aktiva = informace, které mají pro organizaci hodnotu. Informační bezpečnost= bezpečnost informací ve všech jejich formách během celého jejich životního cyklu Security Manager (SM) bezpečnostní ředitel Otázky bezpečnosti v rámci organizace Fyzická ochrana Požární ochrana Ochrana zdraví a života Kontinuita provozu 3

Role manažerů CIO, CISO, SM Pozice IT Security manažera: Modely řízení bezpečnosti, IT bezpečnosti a informatiky ISMS.Zpět k ISMS (i když jsme stále byli v oblasti řízení, kam spadá i ISMS) 4

Systém řízení Mechanismem k zajištění všech aspektů provozování složitého celku je systém řízení (MS) Systém řízení umožňuje: Určení požadovaných cílů Stanovení metod jak cílů dosáhnout Kontrolu dosažení cílů (pomocí určených metod) Systém řízení zavádí: Organizační strukturu Systematické zprac. procesů a souvisejících zdrojů Metodologii pro měření a vyhodnocování parametrů Přehodnocování implementace zlepšení Součásti systému řízení MS pro zajištění kontinuálního provozu řeší fázi plánování, provozu i reakce na změny Politika Stanovení základního směru a cílů, deklarace souhlasu s dodržováním Plánování Identifikace potřeb, zdrojů, struktury, odpovědností Implementace a provoz Budování povědomí, školení Objektivní měření efektivity a výkonu Monitorování a měření parametrů, řešení incidentů a neshod, audity Zlepšování Provádění nápravných, preventivních a zlepšovacích opatření Zpětná vazba Management review 5

Information Security Management System (ISMS) ISMS je systém managementu bezpečnosti informací o Součást globálního systému řízení organizace o Založen na přístupu vyhodnocování rizik o Komplexní mechanismus průběžné analýzy, implementace, kontroly, údržby a zlepšování systému informační bezpečnosti Zajištění systematické prevence vzniku incidentů Spolehlivé vnitřní kontrolní mechanizmy Stanovení vymahatelných pravidel a povinností pro všechny zainteresované strany ISMS Systém řízení informační bezpečnosti Pravidla fungování ISMS vymezena bezpečnostní politikou Zavedení ISMS znamená vznik nových organizačních struktur (bezpečnostní ředitel, bezpečnostní fórum, další role) Zavedením ISMS se v organizaci implementují řídící a kontrolní mechanismy, jejichž cílem je monitorovat adekvátnost navržených opatření a jejich uplatňování v praxi 6

Informační bezpečnost - přínosy Přínosy systému informační bezpečnosti minimalizace rizik prokazatelně existujících hrozeb (počítačové viry, neoprávněná manipulace s daty, ztráta nebo vyzrazení citlivých dat, průniky z internetu apod.) jasné postupy řešení neočekávaných situací (minimalizují potenciální ztráty - důsledky případných výpadků a havárií) vymezení povinností a zodpovědnosti zaměstnanců (snižuje riziko bezp. incidentů, zajišťuje nepopiratelnost) naplnění legislativních požadavků Formální přístup Pro zajištění bezpečnosti informací Implementace souboru opatření, např. Politiky Prováděcí postupy Organizační struktura Funkce software Opatření vybrána na základě posouzení rizik nutnost formálního přístupu 7

Bezpečnostní politika Koncepčnost soulad s potřebami (i očekávanými) organizace Komplexnost soubor technicko-org. opatření/postupů napříč org. Efektivita nesmí být brzdou řízení a rozvoje organizace Bezpečnostní politika (BP) Soubor opatření formální/normativní rámec InfoSec v org. Implementace - promítnutí technicko-organizačních opatření do každodenní praxe Bezpečnostní politika Bezpečnostní politika je základním kamenem informační bezpečnosti základní dokument pokrývající bezpečnostní aspekty veškerých činností prováděných v organizaci vyžaduje podporu vedení společnosti, aby byla zaručena její dostatečná účinnost obsahuje základní záměry, cíle, role, vymezení pravomocí, obecné zásady a konkrétní opatření má tři úrovně - strategickou, taktickou, operativní 8

Úrovně bezpečnostní politiky úroveň strategická strategické cíle, celková koncepce bezpečnosti úroveň taktická CO a PROČ má být chráněno úroveň operativní JAK bude požadované ochrany dosaženo Zdroj: DCIT a.s. Úrovně bezpečnostní politiky Bezpečnostní politika Koncepce ochrany informací Strategická úroveň Detailní bezpečnostní směrnice Taktická úroveň Navazující (technická) dokumentace Zdroj: DCIT a.s. 9

Bezpečnostní dokumentace Bezpečnostní dokumentace (Dokumentace bezpečnostní politiky) Bezpečnostní politika závazná pro všechny zaměstnance definuje účel, cíle a principy řešení problematiky informační bezpečnosti v rámci organizace Strategická část Pravidla nakládání s informacemi závazná pro všechny zaměstnance definuje kategorizaci informací obsahuje pravidla pro nakládání s informacemi pokrývá informace v elektronické i papírové podobě Pravidla pro práci s výpočetní technikou závazná pro všechny zaměstnance povinnosti uživatelů výpočetní techniky laikům srozumitelná Pravidla pro bezpečnostního manažera dokument definuje procesy a procedury související s rolí bezpečnostního manažera Detailní bezpečnostní pravidla IT závazná pro všechny pracovníky IT příp. externí subjekty obsahuje podrobná pravidla (komunikace, logování, monitorování, správa systémů, vývoj a nasazování systémů apod.) Taktická část Přílohy seznam informačních aktiv - přiřazení kategorií a vlastníků seznam aplikací, IS a osob schvalujících přidělení přístupu dokumenty (případně jejich části) zpracované DCIT Technická dokumentace IT dokumenty jsou součástí provozní dokumentace IT Postupy pro instalaci, zálohování Bezpečnostní nastavení Administrační postupy... Windows 2003 LAN / WAN Elektronická pošta Zálohování Aplikace... Zdroj: DCIT a.s. Reakce na změny hrozeb Nové hrozby žádají nová protiopatření neustále, efektivně a hlavně včas Proměna stávajících hrozeb vývoj způsobu práce Vznik nových hrozeb nové technologie Mechanismus přizpůsobování Reakce/modifikace přijatých opatření novým potřebám Formálně definovaný/realizovaný postup průběžné analýzy, implementace, kontroly, údržby, zlepšování systému InfoSec Efektivita řízení, přiměřené (= rozumné ) nároky na zdroje 10

Systém řízení Mechanismem k zajištění všech aspektů provozování složitého celku je systém řízení (Management System) Systém řízení umožňuje: Určení požadovaných cílů Stanovení metod jak cílů dosáhnout Kontrolu dosažení cílů (pomocí určených metod) Systém řízení zavádí: Organizační strukturu Systematické zprac. procesů a souvisejících zdrojů Metodologii pro měření a vyhodnocování parametrů Přehodnocování implementace zlepšení Součásti systému řízení Management System pro zajištění kontinuálního provozu řeší fázi plánování, provozu i reakce na změny Politika Stanovení základního směru a cílů, deklarace souhlasu s dodržováním Plánování Identifikace potřeb, zdrojů, struktury, odpovědností Implementace a provoz Budování povědomí, školení Objektivní měření efektivity a výkonu Monitorování a měření parametrů, řešení incidentů a neshod, audity Zlepšování Provádění nápravných, preventivních a zlepšovacích opatření Zpětná vazba Management review 11

ISMS ISMS je systém managementu bezpečnosti informací Součást globálního systému řízení organizace Založen na přístupu vyhodnocování rizik Komplexní mechanismus průběžné analýzy, implementace, kontroly, údržby a zlepšování systému informační bezpečnosti Zajištění systematické prevence vzniku incidentů Spolehlivé vnitřní kontrolní mechanizmy Stanovení vymahatelných pravidel a povinností pro všechny zainteresované strany ISMS Systém řízení informační bezpečnosti Pravidla fungování ISMS vymezena bezpečnostní politikou Zavedení ISMS znamená vznik nových organizačních struktur (bezpečnostní ředitel, bezpečnostní fórum, další role) Zavedením ISMS se v organizaci implementují řídící a kontrolní mechanismy, jejichž cílem je monitorovat adekvátnost navržených opatření a jejich uplatňování v praxi 12

Zavádění ISMS Velmi náročný úkol, řada překážek důležitější projekty, vysoké náklady, prodloužení doby trvání projektů,. Klíčový moment: zapojení a podpora vrcholového vedení (top managementu) do bezpečnostní problematiky Zavádění ISMS Možná cesta: metodologie COBIT v oblasti řízení IT a definování zodpovědností, Procesní charakter řešení bezpečnosti, Naplnění legislativních požadavků (ochrana osobních dat, oborová legislativa) Bezpečnost nelze posuzovat pouze v kontextu návratnosti investic, ale zejména v kontextu zvládání rizik 13

Informační bezpečnost - přínosy Řešení problematiky informační bezpečnosti v organizaci je příkladem nekončícího procesu. Výstupem není nikdy bezpečnost, ale SYSTÉM ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI, zaručující při správné implementaci dosažení adekvátní úrovně bezpečnosti v daném období. Informační bezpečnost - přínosy Informační bezpečnost zajišťuje hlavní procesy organizace (např. business procesy) a chrání tím organizaci před uplatněním hrozeb ohrožujících splnění jejich cílů, umožňuje organizaci plnit legislativní a smluvní požadavky, snižuje dopady bezpečnostních incidentů, havárií a výpadků. 14

Důvody pro zavedení ISMS zvýšení bezpečnosti informací ve společnosti preventivní (posílení vnitřních kontrolních mechanismů, obavy IT nebo jiných útvarů, výstup provedených auditů) reakce na vlastní incident reakce na medializovaný cizí incident marketingová (obchodní) výhoda (certifikát ISMS) zákony a regulatorní požadavky (např. z mateřské společnosti) sebevědomí společnosti, taktika CIO, CISO,. Předpoklady zavedení ISMS podpora a odpovědnost vedení společnosti kvalifikovaný tým pro zavedení ISMS konzultační podpora zavedené funkční řídící procesy ve společnosti (ISMS je součástí systému řízení společnosti): ISO 9000 (kvalita) ISO 14000 (životní prostředí) ISO 20000 (procesy řízení IT služeb) funkční řídící dokumentace definovaný rozsah ISMS 15

Možná cesta: Zavádění ISMS metodologie COBIT v oblasti řízení IT a definování zodpovědností, Procesní charakter řešení bezpečnosti, Naplnění legislativních požadavků (ochrana osobních dat, oborová legislativa) Bezpečnost nelze posuzovat pouze v kontextu návratnosti investic, ale zejména v kontextu zvládání rizik. Zavádění ISMS Proces správy a řízení rizik je základem ISMS Bezpečnost informací nelze ztotožnit s bojem proti hackerům a spamu Výběr vhodné metodologie a nástroje analýzy rizik (CRAMM, Octave, FRAAP, RA Tool,.) Využití standardů při zavádění ISMS norma doporučuje zřízení kontinuálního a systematického procesu řízení bezpečnosti ISMS není třeba nasazovat plošně. 16

Role manažera úspěšné zavedení a provozování ISMS by mělo být hlavním cílem a náplní činnosti manažera společnosti odpovědného za informační bezpečnost (CIO, CISO, bezpečnostní ředitel, jiný člen vedení společnosti, ); pro dosažení tohoto cíle je nezbytná skutečná podpora vrcholového vedení společnosti (resp. generálního ředitele, CEO, předsedy představenstva,..) poskytnutí této podpory je jejich hlavním úkolem; Rozpočet na oblast bezpečnosti Organizační struktura bezpečnostní fórum (rada, výbor) Metriky pro měření bezpečnosti Bezpečnostní audity Otázky? Děkuji za pozornost RNDr. Igor Čermák, CSc. igor.cermak@fit.cvut.cz 17

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář