Postupy pro zavedení a řízení bezpečnosti informací

Podobné dokumenty
MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Normy a standardy ISMS, legislativa v ČR

Standardy a definice pojmů bezpečnosti informací

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Normy ISO/IEC 27xxx Přehled norem

Zákon o kybernetické bezpečnosti

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

Bezpečnostní politika a dokumentace

Normy ISO/IEC 27xxx Přehled norem

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad

MFF UK Praha, 29. duben 2008

GDPR SNADNO.info. Ing. Lukáš Přibyl, předseda NSMC Network Security Monitoring Cluster

Kybernetická bezpečnost MV

4. Standardy bezpečnosti Řízení kvality (audit) IS BIVŠ 2016

Kybernetická bezpečnost

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI. JUDr. Mgr. Barbora Vlachová judr.vlachova@ .cz

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

Bezpečnostní normy a standardy KS - 6

ČESKÁ TECHNICKÁ NORMA

Kybernetická bezpečnost resortu MV

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

NÁVRH ZÁKONA o KYBERNETICKÉ BEZPEČNOSTI. JUDr. Radomír Valica ředitel odboru právního a legislativního NBÚ 3. října 2013, Praha

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

Státní pokladna. Centrum sdílených služeb

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

Zákon o kybernetické bezpečnosti

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

Bezpečnostní opatření pro některé z oblastí kritické infrastruktury. Vladimír ROHEL

Představení služeb DC SPCSS Státní pokladna Centrum sdílených služeb

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Řízení informační bezpečnosti a veřejná správa

ČESKÁ TECHNICKÁ NORMA

Aktivity NBÚ při zajišťování kybernetické bezpečnosti

Návrh zákona připravil a předložil Národní bezpečnostní úřad. Předložen k dalšímu legislativnímu projednávání v Parlamentu České republiky

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

MANAŽER SM BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.10/2007

Překlad a interpretace pro české prostředí

Gradua-CEGOS, s.r.o. AUDITOR BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI. CS systémy managementu organizací verze 2, 8.2, b) 1.

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

Normy ISO/IEC NISS. V Brně dne 7. listopadu 2013

Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts

Audit informační bezpečnosti

Co je a co není implementace ISMS dle ISO a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o.

Technická komise ISO/JTC1/SC 27 Technická normalizační komise ÚNMZ TNK 20

NÁVRH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Tisk 81. Mgr. Jiří Malý duben 2014, PRAHA

ČESKÁ TECHNICKÁ NORMA

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

PŘÍLOHA 8 BEZPEČNOST, OCHRANA MAJETKU A OSOB

Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu

egrc řešení - nástroj pro efektivní řízení bezpečnosti dle kybernetického zákona Marian Němec AEC a.s.

ČESKÁ TECHNICKÁ NORMA

Bezpečnostní politika společnosti synlab czech s.r.o.

Kybernetická bezpečnost

Zdravotnické laboratoře. MUDr. Marcela Šimečková

Spisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.)

Pelantová Věra Technická univerzita v Liberci. Předmět RJS. TU v Liberci

Představení normy ČSN ISO/IEC Management služeb

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Z K B V P R O S T Ř E D Í

Zkušenosti s implementací ZoKB a problémy, které nás pálí. Ing. Miroslav Tůma, Ph.D. Ředitel odboru kybernetické bezpečnosti a koordinace ICT

ANALÝZA RIZIK CLOUDOVÉHO ŘEŠENÍ Z POHLEDU UŽIVATELE. Václav Žid

BEZPEČNOSTNÍ ROLE. a jejich začlenění v organizaci

Systém řízení bezpečnosti informací v praxi

O2 a jeho komplexní řešení pro nařízení GDPR

Nabídka kurzů k systému řízení bezpečnosti informací (ISMS) ČSN ISO/IEC 27001:2014

do Českého zdravotnictví Michal Koščík Definujte zápatí - název prezentace / pracoviště 1

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Integrovaný systém řízení

Protecting Data in Microsoft Online Services. Studie zpracovaná na základě poptávky Microsoft s.r.o. Zakázka: MICR Verze: 2.

ČESKÁ TECHNICKÁ NORMA

Ing. Miroslav Tůma, Ph.D. ředitel odboru Kybernetické bezpečnosti a koordinace ICT Ministerstvo vnitra ČR

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007

TSB a kybernetická bezpečnost SMB a jím ovládaných subjektů

Zavádění PKI infrastruktury v organizaci - procesní aspekty. Vlastimil Červený, Kateřina Minaříková Deloitte Advisory, s.r.o.

ZMĚNA ČESKÉHO OBRANNÉHO STANDARDU. AAP-48, Ed. B, version 1

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Co nového v akreditaci?...

ZAVEDENÍ ISMS V OBCHODNÍ SPOLEČNOSTI

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

Implementace ZKB. Ing. Miroslav Jaroš. Energetický regulační úřad.

Implementace řízení strategických a kybernetických rizik v Pražská teplárenské s podporou SW nástroje Risk management tool

Politika bezpečnosti informací

Návrh VYHLÁŠKA. ze dne 2014

ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ

Potřeba jednotného řízení a konsolidace rizik

Kybernetická bezpečnost a GDPR. OBCE, MĚSTA, KRAJE a jiné organizace

MEZINÁRODNÍ NORMY A DIGITÁLNÍ KONTINUITA. Tomáš Bezouška Praha,

Bezpečnostní projekt podle BSI-Standardu 100

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI A NAVAZUJÍCÍ PROVÁDĚCÍ PŘEDPISY

AUDITOR KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.5/2007

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

Transkript:

Postupy pro zavedení a řízení bezpečnosti informací ELAT s.r.o Lukáš Vondráček

Preambule Prosil bych šroubek M6 asi takhle tlustej

Standardy ISO / IEC 27000 SAS 70 /NIST a další...

1.1 Mezinárodní normy ISMS řady ISO/IEC 27xxx ISO 27000 - definuje pojmy a terminologický slovník pro všechny ostatní normy z této série. ISO 27001 (BS7799-2) - hlavní norma pro Systém řízení bezpečnosti informací (ISMS), dříve známá jako BS7799 část 2, podle které jsou systémy certifikovány. Poslední revize normy byla publikována v říjnu 2013. ISO 27002 (ISO/IEC 17799 & BS7799-1) - norma byla prvně publikována v červnu 2005 jako ISO/IEC 17799:2005. V červenci 2007 došlo k jejímu přejmenování na ISO/IEC 27002:2005, kdy obsah předchozí normy byl zachován. Poslední revize normy byla vydána v říjnu 2013. ISO 27003 - návod pro návrh a zavedení ISMS v souladu s ISO 27001. ISO 27004 - norma byla publikována v prosinci 2009 pod názvem "Information technology - Security techniques - Information security management - Measurement". Normu přeložila společnost Risk Analysis Consultants. ISO 27005 - norma byla publikována v červnu 2008 pod názvem "Information technology - Security techniques - Information security risk management" a následně v červnu 2011 revidována.

1.1 Mezinárodní normy ISMS řady ISO/IEC 27xxx ISO 27006 - norma byla poprvé publikována v březnu 2007 pod názvem Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems. ISO 27007 - norma byla publikována v listopadu 2011 pod názvem "Information technology Security techniques Guidelines for information security management systems auditing". ISO 27008 - norma byla publikována v listopadu 2011 pod názvem "Information technology Security techniques Guidelines for auditors on information security management systems controls". Obsahuje doporučení auditorům ISMS a doplňuje ISO 27007.

1.1 Mezinárodní normy ISMS řady ISO/IEC 27xxx ISO 27010 - norma byla publikována v dubnu 2012 pod názvem "ISO/IEC 27010:2012 Information technology Security techniques Information security management for inter-sector and inter-organisational communications". Poskytuje doporučení pro řízení bezpečnosti informací při interní a mimo firemní komunikaci. ISO 27011 - norma byla publikována v roce 2008 pod názvem "ISO/IEC 27011:2008 Information technology Security techniques Information security management guidelines for telecommunications organizations based on ISO/IEC 27002". Obahuje doporučení a požadavky na řízení bezpečnosti informací v prostředí telekomunikačních operátorů. ISO 27013 - norma byla publikována v říjnu 2012 pod názvem "ISO/IEC 27013:2012 Information technology Security techniques Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1". Norma poskytuje doporučení pro implementaci ISO/IEC 20000 a ISO/IEC 27001.

1.1 Mezinárodní normy ISMS řady ISO/IEC 27xxx ISO 27014 - norma byla publikována v první polovině roku 2013 pod názvem "ITU-T Recommendation X.1054 & ISO/IEC 27014:2013 Information technology Security techniques Governance of information security". Norma organizacím poskytuje doporučení při návrhu Information Security Governance. ISO 27015 - norma byla publikována v listopadu 2012 pod názvem "ISO/IEC TR 27015:2012 Information technology Security techniques Information security management guidelines for financial services".obsahuje doporučení a požadavky na řízení bezpečnosti informací v prostředí finančních institucí (banky, pojišťovny apod.). ISO 27016 - norma byla publikována v roce 2014 jako technická zpráva (Technical Report) pod názvem ISO/IEC TR 27016:2014 IT Security Security techniques Information security management Organizational economics. Poskytuje doporučení pro nastavení bezpečnostního programu s ohledem na předpokládané finanční výsledky.

1.1 Mezinárodní normy ISMS řady ISO/IEC 27xxx ISO 27018 - norma byla publikována v srpnu 2014 pod názvem ISO/IEC 27018:2014 Information technology Security techniques Code of practice for protection of Personally Identifiable Information (PII) in public clouds acting as PII processors. Poskytovatelům cloudových služeb dává vhodná bezpečnostní opatření pro zabezpečení soukromí zákazníků. ISO 27019 - norma byla publikována jako Technická zpráva (Technical Report) pod názvem "ISO/IEC TR 27019:2013 Information technology Security techniques Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy industry". Norma pomáhá organizacím v energetickém průmyslu interpretovat a aplikovat normu ISO/IEC 27002, aby byla zajištěna bezpečnost jejich systémů pro elektronické řízení procesů.

1.1 Mezinárodní normy ISMS řady ISO/IEC 27xxx ISO 27031 - norma byla publikována v březnu 2011 pod názvem "ISO/IEC 27031:2011 Information technology Security techniques Guidelines for information and communications technology readiness for business continuity".obsahuje doporučení pro zajištění kontinuity činností organizace (business continuity). ISO 27032 - norma pod označením "Guidelines for cybersecurity" vyšla v červnu 2012, obsahuje bezpečnostní doporučení týkající se kyberprostoru. ISO 27033 - soustava norem poskytující doporučení pro implementaci protiopatření vztahujících se k bezpečnosti sítí. Prozatím bylo vydáno pět částí normy. ISO 27034 - soustava norem poskytující doporučení pro tvorbu, implementaci a užívání aplikačního softwaru. Byla vydána první část normy.

1.1 Mezinárodní normy ISMS řady ISO/IEC 27xxx ISO 27035 - norma byla publikována v roce 2011 pod názvem "Information security incident management". Norma se věnuje řízení incidentů bezpečnosti informací. ISO 27036 - soubor norem "Information security for supplier relationships" bude obsahovat doporučení organizacím pro hodnocení a snižování rizik týkajících se outsourcovaných služeb. Prozatím byla vydány první tři části. ISO 27037 - norma byla publikována v říjnu 2012 pod názvem "ISO/IEC 27037:2012 Information technology Security techniques Guidelines for identification, collection, acquisition, and preservation of digital evidence". Norma obsahuje doporučení pro zjišťování, sběr, získávání a uchovávání digitálních důkazů.

1.1 Mezinárodní normy ISMS řady ISO/IEC 27xxx ISO 27038 - norma byla publikována v roce 2014 pod názvem "ISO/IEC 27038:2014 Information technology Security techniques Specification for digital redaction". Norma obsahuje doporučení pro publikování digitálních dokumentů. ISO 27799 - doporučení a požadavky na řízení bezpečnosti informací ve zdravotnických zařízeních.

1.1 Mezinárodní normy ISMS řady ISO/IEC 27xxx Připravované normy: ISO 27009 - noma bude definovat požadavky pro používání ISO/IEC 27001 ve specifických odvětvích. ISO 27012 - projekt pro tvorbu normy, která měla poskytovat bezpečnostní doporučení pro státní správu při elektronické komunikaci s občany, byl zrušen. ISO 27017 - norma by měla poskytovat doporučení pro zabezpečení cloud computingu. ISO 27018 - norma by měla poskytovat doporučení ohledně ochrany osobních údajů v cloud computingu. ISO 27023 - norma by měla mapovat a srovnávat poslední vydání norem ISO/IEC 27001 a ISO/IEC 27002 s vydáními předchozími. ISO 27039 - norma by měla obsahovat doporučení pro výběr, nasazení a provoz systémů pro detekci a prevenci bezpečnostních průniků (Intrusion Detection and Prevention Systems - IDPS). ISO 27040 - norma by měla obsahovat doporučení pro bezpečné ukládání dat. ISO 27041 - norma by měla obsahovat doporučení pro zajištění důkazů pro digitální metody vyšetřování. ISO 27042 - norma by měla obsahovat doporučení pro analýzu a vyhodnocování digitálních důkazů. ISO 27043 - norma by měla obsahovat doporučení pro zásady a postupy při vyšetřování digitálních důkazů. ISO 27044 - norma by měla obsahovat doporučení pro SIEM (Security Incident and Event Management). ISO 27050 - čtyřdílná norma by se měla zabývat problematikou zkoumání elektronických stop (Electronic discovery).

1.2 Standardy používané v USA Federal Information Security Management Act of 2002 ( FISMA ) Federální zákon o managementu bezpečnosti informací. Vyžaduje, aby každý federální úřad zavedl program bezpečnosti informací a informačních systémů, včetně služeb poskytovaných nebo řízených jiným úřadem nebo dodavatelem.

1.2 Standardy používané v USA FIPS PUB 199 Standardy pro kategorizaci bezpečnosti federálních informací a informačních systémů FIPS PUB 200 Minimální požadavky na bezpečnost federálních informací a informačních systémů NIST Special Publications 800 series (NIST SP 800 series)

1.2 Standardy používané v USA Příručky pro posuzování, výběr a implementaci bezpečnostních opatření v informačních systémech a ICT technologiích Zdroje: http://csrc.nist.gov/publications/pubssps.html

1.3 Standardy používané ve Spolkové republice Německo BSI Standard 100-1: Information Security Management Systems (ISMS) BSI-Standard 100-2: IT-Grundschutz Methodology BSI-Standard 100-3: Risk Analysis based on IT-Grundschutz BSI-Standard 100-4: Business Continuity Management Zdroje: https://www.bsi.bund.de/en/publications/bsistandards/bsistandards_node.html

Standardy

Související normy ČSN ISO/IEC 10007:2004 (01 0334) Informační technologie - Systémy managementu jakosti - Směrnice managementu konfigurace. ČSN ISO/IEC 15408 Informační technologie - Bezpečnostní techniky -Kritéria pro hodnocení bezpečnosti IT. ISO/IEC TR 18044:2004 Information technology - Security techniques - Information security incident management. ČSN ISO/IEC 19011:2012 Směrnice pro auditování sytému managementu. ČSN ISO/IEC 20000 Informační technologie - Management služeb. ČSN ISO/IEC 27001:2014 Informační technologie - Bezpečnostní techniky - Systémy managementy bezpečnosti informací - Požadavky. ISO/IEC Guide 73:2002, Risk management - Vocabulary - Guidelines for us in standards. a další...

Zákon č. 181/2014 Sb., o kybernetické bezpečnosti (ZoKB) Upravuje práva a povinnosti osob a působnost a pravomoci orgánů veřejné moci v oblasti kybernetické bezpečnosti. Nevztahuje se na informační nebo komunikační systémy, které nakládají s utajovanými informacemi Výjimka zohledňující specifika činnosti zpravodajských služeb a Policie České republiky ( 33)

Právní úprava kybernetické a informační bezpečnosti Kybernetická bezpečnost (v užším smyslu) Kritická infrastruktura Kybernetická a informační bezpečnost Zákon č. 181/2014 Sb., o kybernetické bezpečnosti Zákon č. 240/2000 Sb., krizový zákon + vyhlášky Zákon č. 365/2000 Sb., o ISVS + vyhlášky Vyhláška č. 316/2014 Sb., o kybernetické bezpečnosti Nařízení vlády č. 315/2014 Sb., o kritériích pro prvky KI Zákon č. 499/2004 Sb., archivní zákon + vyhlášky Vyhláška č. 317/2014 Sb., o významných informačních systémech řada dalších předpisů

Pojmy - aktiva Primární (dle 2 písm. c) VyKB) Informace Služba, kterou dotčený systém zpracovává nebo poskytuje Podpůrná (dle 2 písm. d) a e) VyKB) Technické vybavení, komunikační prostředky dotčeného systému a jeho programové vybavení Objekty, ve kterých je tento systém umístěn Zaměstnanci a dodavatelé podílející se na provozu, rozvoji, správě nebo bezpečnosti aktiva procesně-organizační pravidla, postupy a návody určující cíl a podmínky poskytování a využívání ICT služby

Pojmy - opatření Bezpečnostní opatření poskytne ochranu aktiva před hrozbou tím, že: Sníží míru zranitelnosti Omezí dopad incidentu Detekuje incidenty Usnadňuje obnovu po incidentu *V praxi se užívá vhodná kombinace více opatření

Pojmy - incident bezpečnostní událost= událost, která může způsobit narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací 1). bezpečnostní incident = narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací 1) v důsledku kybernetické bezpečnostní události.

3.Implementace ISMS a. procesní: Bezpečnostní politika ISMS Navržená opatření Osvěta / školení b. systémy dle ZoKB: Významné informační systémy Informační systémy kritické inf. infrastrukrtury Komunikační systémy kritické inf. infrastrukrtury c. Specifikace Garant primárního aktiva Garant podpůrného aktiva

Týká se to všch Proces y Řízení aktiv a rizik Procesy detekce a reakce Procesy zajištění kontinuity Školení a cvičení Systémy detekcí kyber. incidentů Systémy zjišťování zranitelností Centrální správa uživatelů a rolí Centralizovaná správa klasifikace informací Technolo gie Zajištění Kybernetic ké bezpečnos ti Výbor kybernetické bezpečnosti Osoby v bezpečnostních rolích Ostatní týmy a pracovníci Dodavatelé Uživatelé Lidé

Organizace

Organizace OITK KYBERNETICKÁ BEZPEČNOST slide 28

Struktura postupu

Struktura postupu

Postup zavedení 1. DOKUMENTACE ZAVÁDĚNÍ SYSTÉMU 2. IDENTIFIKACE SUBJEKTU 3. URČENÍ VÝBORU A BEZPEČNOSTNÍCH ROLÍ 4. STRATEGIE KYBERNETICKÉ BEZPEČNOSTI 5. IDENTIFIKACE ROZSAHU ŘÍZENÍ SYSTÉMU BEZPEČNOSTI INFORMACÍ

Postup zavedení 6. ASSESMENT 7. REVIZE METODICKÉ ZÁKLADNY 8.1. IDENTIFIKACE AKTIV 8.2. HODNOCENÍ AKTIV 9. ANALÝZA RIZIK 9.1. ANALÝZA DOPADŮ 10. BEZPEČNOSTNÍ POLITIKA 11. PLÁN IMPLEMENTACE OPATŘENÍ ZOKB 11.1. ŘÍZENÍ KONTINUITY ČINNOSTI - DISASTER RECOVERY PLAN 11.2. PLÁN ZVLÁDÁNÍ RIZIK

Postup zavedení 12. PRACOVNÍ POSTUPY, ŘÍDÍCÍ DOKUMENTACE 12.1. ŘÍZENÍ DOKUMENTACE 12.2. ŘÍZENÍ KOMUNIKACE 12.3. ŘÍZENÍ DODAVATELŮ 12.4. ŘÍZENÍ BEZPEČNOSTNÍCH INCIDENTŮ A UDÁLOSTÍ 12.5. PŘEZKOUMÁNÍ SYSTÉMU ŘÍZENÍ BEZPEČNOSTI INFORMACÍ 12.6. PROVÁDĚNÍ INTERNÍCH AUDITŮ

13. PROHLÁŠENÍ O APLIKOVATELNOSTI

Principy opatření Jedná se o systematický soubor vnitřně provázaných aplikovaných postupů a opatření, které jsou plánovány řízeny vyhodnocovány a to kontinuálně!!!

Organizační opatření Systém řízení bezpečnosti informací (ISMS) Řízení rizik Bezpečnostní politika Organizační bezpečnost Stanovení bezpečnostních požadavků pro dodavatele Řízení aktiv Bezpečnost lidských zdrojů Řízení provozu a komunikací Řízení přístupu a bezpečné chování uživatelů Akvizice, vývoj a údržba Zvládání kybernetických bezpečnostních událostí a incidentů Řízení kontinuity činností Kontrola a audit

Technická opatření Fyzická bezpečnost Nástroj pro ochranu integrity komunikačních sítí Nástroj pro ověřování identity uživatelů Nástroj pro řízení přístupových oprávnění Nástroj pro ochranu před škodlivým kódem Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů Nástroj pro detekci kybernetických bezpečnostních událostí Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí Aplikační bezpečnost Kryptografické prostředky Nástroje pro zajišťování vysoké úrovně dostupnosti Bezpečnost průmyslových a řídicích systémů

Kontrola a audit Kontrola audity: interní interní audity cílem je najít 100% reálný stav, aby neshody mohly být vyřešeny interně v případě neplnění sjednání nápravy externí cílem je najít shodu s požadavky normy (ZoKB, jiného předpisu) Kontroluje se: prováděcí dokumentace provádění předepsaných činností v praxi, soulad popisu v dokumentaci a prováděných činností.

Principy neustálého zlepšování Kontinuální opakování všech klíčových parametrických aplikací a kontrol

Dotazy

Děkuji za pozornost Lukáš Vondráček ELAT s.r.o vondracek@elat.cz http://www.elat.cz

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář