Management informační bezpečnosti

Podobné dokumenty
Co je to COBIT? metodika

V Brně dne a

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

V Brně dne 10. a

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Regulace a normy v IT IT Governance Sociotechnický útok. michal.sláma@opava.cz

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

KIV/SI. Přednáška č.2. Jan Valdman, Ph.D.

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

METODIKA PROVÁDĚNÍ AUDITU COBIT

ČESKÁ TECHNICKÁ NORMA

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Jak na jakost v podnikovém IT Evropský týden kvality Praha

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.

METODIKY ŘÍZENÍ ICT: ITIL, COBIT, IT GOVERNANCE

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi října 2011 r

Systém řízení informační bezpečnosti (ISMS)

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Procesní řízení a normy ISO, ITIL, COBIT, HIPAA, SOX

Informační bezpečnost. Dana Pochmanová, Boris Šimák

Nástroje IT manažera

Předmluva: Vítejte v ITIL! Úvod 15 IT Infrastructure Library O této knize ITIL (IT Infrastructure Library ) 1.3. Služby a správa služeb

Management informační bezpečnosti. V Brně dne 26. září 2013

TVORBA BEZPEČNOSTNÍ POLITIKY ORGANIZACE A HAVARIJNÍHO PLÁNU

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Návrh aktualizace rámce COSO vymezení ŘKS 2. setkání interních auditorů z finančních institucí

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Cobit 5: Struktura dokumentů

Nástroje IT manažera

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

Metriky v informatice

3.přednáška. Informační bezpečnost: Řízení IS/IT

Řízení kybernetické a informační bezpečnosti

BEZPEČNOST ICT. Marek Chlup

Risk management a Interní audit

Standardy a definice pojmů bezpečnosti informací

Implementace systému ISMS

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

BEZPEČNOSTNÍ ROLE. a jejich začlenění v organizaci

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

Návrh softwarových systémů - softwarové metriky

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

Bezpečnostní politika společnosti synlab czech s.r.o.

Bezepečnost IS v organizaci

OCTAVE ÚVOD DO METODIKY OCTAVE

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

Nadpis presentace. Řízení IT v malých. útvarech aneb Light verze IT governance

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Proč nový styl řízení ICT

Řízení rizik. RNDr. Igor Čermák, CSc.

Představení normy ČSN ISO/IEC Management služeb

Cena za inovaci v interním auditu. Dynamické řízení rizik skrze integrovaný systém kontrolního prostředí 1

Model systému managementu pro řízení ÚSC. Ing. Štěpán Kmoníček, Ph.D. odbor strategického rozvoje a koordinace veřejné správy

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad

Politika bezpečnosti informací

ITIL Základní přehled. Marek Rychlý (Ivana Burgetová)

Jan Hřídel Regional Sales Manager - Public Administration

ISMS. Uživatel jako zdroj rizik. V Brně dne 5. a 12. prosince 2013

Model S-P-S-P-R, ITIL

Bezpečnostní normy a standardy KS - 6

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

ČESKÁ TECHNICKÁ NORMA

Co je a co není implementace ISMS dle ISO a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o.

Bezpečnostní politika společnosti synlab czech s.r.o.

Obsah. Úvod 9 Zpětná vazba od čtenářů 10 Errata 10

Normy a standardy ISMS, legislativa v ČR

ISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA

Otázky kurzu 4IT417 Řízení podnikové informatiky verze z 1/2/ Podniková informatika pojmy a komponenty

Úvod do projektu. Standardizace provozních funkcí ÚSC. Součást projektu Korporátní styl řízení ve veřejné správě

3 Bezpečnostní politika 3/1 Základní pojmy, principy standardy a požadavky

ČESKÁ TECHNICKÁ NORMA

Výčet strategií a cílů, na jejichž plnění se projektový okruh podílí: Strategický rámec rozvoje veřejné správy České republiky pro období

1.1. Správa a provozní podpora APV ROS, HW ROS a základního SW

Procesní řízení IT. Ing. Hana Neničková, MBA

Outsourcing v podmínkách Statutárního města Ostravy

Stav řešení Enterprise Architektury na Moravskoslezském kraji

Vazba na Cobit 5

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

PŘÍLOHA C Požadavky na Dokumentaci

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

Případová studie. Zavedení ISMS dle standardu Mastercard

Řízení informační bezpečnosti a veřejná správa

Sjednocení dohledových systémů a CMDB

Ing. Miroslav Tůma, Ph.D. Ředitel odboru kybernetické bezpečnosti a koordinace ICT Ministerstvo vnitra

VIZE INFORMATIKY V PRAZE

Provoz, podpora a údržba IS. Jaroslav Žáček jaroslav.zacek@osu.cz

Z K B V P R O S T Ř E D Í

Verze 3 základní představení

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts

Úspory nákladů v ICT vs. technologický dluh

Garant karty projektového okruhu:

Praktické zkušenosti s certifikací na ISO/IEC 20000

Profesionální a bezpečný úřad Kraje Vysočina

Informatika / bezpečnost

STRATEGIE A PROJEKTY ODBORU INFORMATIKY MHMP

Transkript:

Management informační bezpečnosti Definice V Brně dne 3. října 2013

Definice Common Criterta ITIL COBIT CRAMM Přiměřená ábezpečnostč Management informační bezpečnosti 2

Common Criteria Common Criteria jsou společná kritéria pro bezpečnosti informačních technologií. hodnocení Jsou shrnuta v normě ISO/IEC 15408 Information technology Security techniques Evaluation criteria for IT security Framework Common Criteria dává jistotu, že proces specifikace, implementace a hodnocení produktu počítačové bezpečnosti bude řídit přísným, přesným a standardizovaným způsobem. Oficiální literatura vychází v pravidelných intervalech s příslušnými aktualizacemi (viz rok 2012 ve verzi 3.1, 4. vydání) Na portálu Common Criteria existuje seznam certifikovaných produktů dle kategorií splňujících požadovaná bezpečnostní kritéria. http://www.commoncriteriaportal.org Management informační bezpečnosti 3

Knihovna ITIL Knihovna ITIL - poskytnutí uceleného souboru pro řízení služeb IT (model ITIL V3 - ITR3, platná od roku 2007) celková koncepce je podřízena životnímu cyklu služeb IT ve formě: - strategie služeb - návrh služeb - implementace služeb - provoz služeb -průběžné zlepšování služeb Zkratka ITIL znamená IT Infrastructure Library, anglicky mluvícím je tedy zřejmé, že se jedná o knihovnu, která nám dává doporučení co a kdy dělat při provozu a údržbě IT služeb. Hned na začátku zmíníme, že ITIL neříká jak toto dělat, pouze říká co a kdy! lépe řečeno se jedná o FRAMEWORK postavený na nejlepších zkušenostech z praxe (best practices). Protože ITIL je nezávislý na platformě a protože je to "rámec", jsou výstupy všech dodavatelů v celém odvětví kompatibilní a univerzálně použitelné (SW nástroje, školení, konzultační služby). Management informační bezpečnosti 4

ITIL ITIL není norma ani metodika! Druhým pojmem, který je pro ITIL klíčový je proaktivní přístup. Klasický reaktivní přístup pouze reaguje na události, které nastaly, kdežto proaktivní přístup se zabývá aktivní detekcí a řešením možných problémů, potřebných změn v ICT infrastruktuře, které by v budoucnu mohly vyvolat incidenty či přinést problémy. ITIL je detailnější než COBIT. Obsahem ITIL je: - definování procesů potřebných pro zajištění ITSM - zásady ypro implementaci procesů ITSM ITIL neřeší: - konkrétní podobu organizační struktury -způsob obsazení rolí konkrétními pracovními pozicemi - podobu a obsah pracovních procedur - projektovou metodiku implementace ITSM Management informační bezpečnosti 5

ITIL Základní procesy řízení bezpečnosti informací dle ITIL Management informační bezpečnosti 6

Metodiky Metodika - je podrobný popis celkové činnosti. COBIT podobně jako ITIL vychází ze skutečnosti, že: aby podnik mohl dosahovat svých cílů (Business goals), vznáší business požadavky (Business Requirements), které generují požadavky na IT zdroje (IT resources), jež jsou zapojeny do IT procesů ů (IT processes) přinášející í businessu požadovanou službu a informace (Enterprise Information). V metodikách je uplatněn klasický PDCA cyklus, kde například pro metodiku COBIT Demingově fázi - PLAN odpovídá Plánování a organizace (Plan and Organise), - fáze DO je zastoupena doménou Akvizice a implementace (Acquire and Implement) + Poskytování a podpora (Deliver and Support), - dvěma fázím CHECK+ACT odpovídá doména Monitorování a vyhodnocování (Monitor and Evaluate). Management informační bezpečnosti 7

Metodika COBIT Metodika COBIT - (Control Objectives for Information and related Technology) je metodika řízení informatiky v organizacích (kostka COBIT) je považována za soubor těch nejlepších praktik pro řízení informatiky (IT Governance), které by měly umožnit dosažení strategických cílů organizace díky efektivnímu využití dostupných zdrojů a minimalizaci IT rizik. Cílem metodiky je propojení principů obecného řízení organizace s pravidly, která jsou uplatňována v prostředí IT. je komplexnější než ITIL (řídící služby IT) osa x informační kriteria 7(důvěrnost, integrita, dostupnost, efektivita, účinnost/hospodárnost, soulad spolehlivost/hodnověrnost) soulad, spolehlivost/hodnověrnost) osa y IT procesy - většinou 3 (aktivity, procesy, domény) osa z zdroje IT obvykle 4 (aplikace, informace, infrastruktura, lidé) S metodikou COBIT se velice dobře pracuje a člověk se v ní rychle orientuje, neboť vše je vyvedeno v přehledné tabelární formě s pevně danou strukturou. Management informační bezpečnosti 8

Kostka COBIT IT PROCESY Aplikace Informace Inrastruktura Lidé Management informační bezpečnosti 9

Informační kritéria COBIT důvěryhodnost (Confidentiality) - požadavky zahrnující oblast ochrany důležitých informací proti neautorizovanému použití (prozrazení) integrita (Integrity) - požadavky týkající se přesnosti a kompletnosti informace ve vztahu k požadavkům podnikání a jeho očekáváním dostupnost (Availability) - požadavky vztahující se k dostupnosti informace pro podnikání (nyní, ale i v budoucnosti) a týkající se také ochrany potřebných zdrojů (např. datových, technologických) efektivita (Effectiveness) - požadavky na včasné doručování relevantních informací ve správném, konzistentním a použitelném tvaru účinnost (Efficiency) - požadavky na zpracování informací (nejekonomičtějším a nejproduktivnějším způsobem) prostřednictvím optimálního využívání zdrojů informatiky soulad (Compliance) - požadavky týkající se udržování souladu se zákony, regulacemi, směrnicemi a kontraktačními podmínkami, které se týkají procesů podnikání (hlavních podnikových procesů) spolehlivost (Reliability) - požadavky vztahující se k přínosu informace pro rozhodování manažerů Management informační bezpečnosti 10

IT zdroje COBIT Aplikace Informace Infrastruktura Lidé Odpovídá to obecnému členění aktiv na: -SW aktiva -Data - HW aktiva - IT služby Management informační bezpečnosti 11

IT procesy COBIT Domény existují 4 základní domény: -plánování á a organizace - akvizice a implementace - dodávka a podpora - sledování a hodnocení Procesy jsou spravovány v rámci každé domény. Procesů (označovaných High Level Control Objectives) je 34. Aktivity neboli detailní kontrolní cíle tvoří každý proces. Je jich 214 (platí pro verzi V4) Struktura IT procesů vytváří v COBIT "smyčku", která odpovídá základním prvkům "životního cyklu" informačních systémů. Management informační bezpečnosti 12

CRAMM CRAMM (CCTA Risk Analysis and Management Method) je metodika a soubor softwarových nástrojů pro zavádění a podporu systému řízení bezpečnosti informací (Information Security Management System - ISMS) pro provádění identifikace a ohodnocení aktiv, analýzy rizik informačních systémů a sítí, k návrhu bezpečnostních opatření, určování havarijních požadavků na informační systém a k návrhům na řešení havarijních situací.) Metodika CRAMM obsahuje velmi rozsáhlou databázi opatření, o níž hovoříme jako o knihovně opatření. Ta zahrnuje bezpečnostní opatření na pokrytí rizik. V nové verzi CRAMM 5.2 je obsažena aktuální verze normy ISO/IEC 27001:2005 (také v české verzi). Metodika, která je podporována softwarovým nástrojem, umožňuje připravit organizaci na certifikaci podle ISO/IEC 27001:2005, provést hodnocení rizik informačních systémů, navrhnout efektivní opatření s cílem zlepšit informační bezpečnost, provést analýzy stavu vůči ISO/IEC 27001:2005, řídit informační rizika, vytvářet bezpečnostní dokumentace havarijních plánů aplánů zajištění kontinuity při provozu. Management informační bezpečnosti 13

CRAMM Expert Analýza CRAMM Expert je detailní analýza CRAMM Expert se dělí na 3 fáze s následujícím cílem a obsahem: - fáze 1 identifikace aktiv a vytvoření modelů aktiv, na základě interview s vybranými respondenty stanovení hodnoty aktiv (určit možné dopady na provoz a cíle organizace při jejich ohrožení) - fáze 2 identifikace hrozeb a zranitelností systému a uřčení jejich úrovně, výpočet míry rizika - fáze 3 návrh opatření na pokrytí zjištěných rizik a identifikace jejich stavu, zpracování pokladů pro implementaci opatření doporučených k realizaci Při provádění hodnocení rizik pomocí CRAMM Expert je nutné detailně popsat p celý systém, ohodnotit jednotlivá identifikovaná aktiva a následně hrozby i zranitelnosti. Množství informací je značné a proto jsou tyto činnosti vykonávány v rámci samostatného projektu, jehož délka se zpravidla počítá v jednotkách měsíců. Management informační bezpečnosti 14

CRAMM Express Analýza CRAMM Express -umožňuje provést analýzu rizik celého systému v průběhu několika hodin a přitom zůstávají původní zásady metodiky CRAMM nedotčeny Generují se pouze opatření první ze tří kategorií v knihovně CRAMM. Postup: - zjištění hodnoty dat pomocí vodítek hodnocení - rychlé hodnocení hrozeb a zranitelností - stanovení míry rizika a výčet opatření Expresní analýzu lze použít také jako rychlou variantu na začátku projektu. Všechny informace a přehledy lze velice snadno převést do CRAMM Expert a pokračovat v detailní analýze. Management informační bezpečnosti 15

CRAMM a výběr opatření Výběr opatření je základním výstupem třetí fáze CRAMM analýzy (Expert). Zdrojem je databáze (knihovna) opatření, kde jsou tato bezpečnostní opatření dělena do 5 hlavních oblastí: - IT bezpečnost - Komunikační bezpečnost - Personální bezpečnost - Administrativní bezpečnost - Fyzická bezpečnost Management informační bezpečnosti 16

Přiměřená bezpečnost Velikost úsilí a investic do bezpečnosti IS musí odpovídat hodnotě aktiv a míře možných rizik. To stanovuje zejména bezpečnostní politika organizace. Management informační bezpečnosti 17

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář