Bezpečnost informačních systémů a mezinárodní standardy

Podobné dokumenty
Bezpečnostní incidenty IS/ICT a jejich řešení

Bezpečnostní normy a standardy KS - 6

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

ČESKÁ TECHNICKÁ NORMA

Metodický dohled - jak správně ošetřit požadavky legislativy ICT projektu Jan Heisler, Relsie, spol. s r.o.

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok

ČESKÁ TECHNICKÁ NORMA

Jan Hřídel Regional Sales Manager - Public Administration

ČESKÁ TECHNICKÁ NORMA

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

ČESKÁ TECHNICKÁ NORMA

ZMĚNA ČESKÉHO OBRANNÉHO STANDARDU. AAP-48, Ed. B, version 1

MFF UK Praha, 29. duben 2008

ČESKÁ TECHNICKÁ NORMA

Příklad I.vrstvy integrované dokumentace

METODIKA PROVÁDĚNÍ AUDITU COBIT

MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.8/2007

Kulatý stůl l expertů. Jihlava 20.června 2007

Co je a co není implementace ISMS dle ISO a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o.

AUDITOR EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.9/2007

EMS - Systém environmentálního managementu. Jiří Vavřínek CENIA

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

Implementace OVZ. v investiční oblasti. Výjezdní workshop KrÚ JMK 20/8/2019

POZNÁMKA Zvláštní schválení požadavků nebo dokumentů souvisejících s bezpečností smí být vyžadováno zákazníkem nebo interními procesy organizace.

Security. v českých firmách

Úvod. Projektový záměr

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

Softwarová podpora v procesním řízení

Katedra informačních technologií VŠE Praha nám. W. Churchilla 4, Praha 3 buchalc@vse.cz PODNICÍCH. 1. Úvod

Zvyšování kvality a udržitelnost nastavených standardů

Management informační bezpečnosti

Security. v českých firmách

METODICKÉ POKYNY PRO AKREDITACI

Potřeba jednotného řízení a konsolidace rizik

SYSTÉM ŘÍZENÍ JAKOSTI VE VEŘEJNÉ SPRÁVĚ

Pelantová Věra Technická univerzita v Liberci. Předmět RJS. TU v Liberci

OPTIMALIZATION OF TRAFFIC FLOWS IN MUNICIPAL WASTE TREATMENT OPTIMALIZACE DOPRAVNÍCH TOKŮ V NAKLÁDÁNÍ S KOMUNÁLNÍM ODPADEM

Otázky kurzu 4IT417 Řízení podnikové informatiky verze z 1/2/ Podniková informatika pojmy a komponenty

Informační strategie. Doc.Ing.Miloš Koch,CSc.

Přednáší: doc. Ing. Jan Skrbek, Dr. - KIN. Konzultace: pondělí nebo dle dohody Spojení: jan.skrbek@tul.cz tel.

10 KROKŮ K DOKONALOSTI. Využívejte efektivně systém řízení kvality ve své firmě a staňte se lídrem ve svém oboru

Audit implementace NOZ - jak jsme na to šli v AXA. Konference IA 10/2014 Špindlerův Mlýn

SPECIFIKA CERTIFIKACE PODLE ČSN EN ISO 9001:2001 V ORGANIZACÍCH, KTERÉ SE ZABÝVAJÍ VÝVOJEM SOFTWARE

Provozní hlediska systémového auditu v aplikacích a systémech

PERSONÁLNÍ ŘÍZENÍ FIRMY V PRAXI Personální metody a metodologie v malé, střední a velké firmě Ing. Monika DAVIDOVÁ, Ph.D.

DOTAZNÍK příloha k žádosti

Základní principy SJ a jejich zavádění do praxe; normy ISO 9000 a ISO ISO normy

Management informační bezpečnosti. V Brně dne 26. září 2013

Příloha Vyhlášky č.9/2011

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

WS PŘÍKLADY DOBRÉ PRAXE

K výsledkům průzkumu zaměřeného na kvalitu podnikové informatiky

TÜV SÜD Czech s.r.o. Systém energetického managementu dle ČSN EN 16001

Zpráva o Digitální cestě k prosperitě

ADAPTIVITA INFORMAČNÍCH SYSTÉMŮ INFORMATION SYSTEM ADAPTIVITY

Národní příručka Systém řízení bezpečnosti a ochrany zdraví při práci

Proč potřebujete certifikaci v oblasti eidas? Ing. Jarmil Mikulík, náměstek pro zkušebnictví, vedoucí projektu eidas

Metodický pokyn pro akreditaci

SYSTÉM ŘÍZENÍ JAKOSTI VE VEŘEJNÉ SPRÁVĚ

Státní pokladna. Centrum sdílených služeb

SMĚRNICE DĚKANA Č. 4/2013

AUTORIZAČNÍ NÁVOD AN 13/03 Požadavky na systém managementu jakosti laboratoře a zajišťování kvality výsledků

ČESKÝ INSTITUT PRO AKREDITACI, o.p.s. Dokumenty IAF. IAF Mezinárodní akreditační fórum

Katalog služeb 2013 C.Q.M. verze 5, aktualizace Vzdělávání, poradenství a SW podpora pro systémy integrovaného managementu

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi října 2011 r

Řízení kvality a bezpečnosti potravin

Katalog služeb Verze 5, aktualizace

VÝVOJOVÉ TENDENCE V MĚŘENÍ FINANČNÍ VÝKONNOSTI A JEJICH

Co je to COBIT? metodika

Stav energetické účinnosti v ČR a podpora energetiky úsporných projektů

MANAŽER SM BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.10/2007

Aktivity TPEB ČR v oblasti ZKB. Jan.Kepic@tpeb.cz - Praha ÚNMZ 4. února 2015

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

ISO 9001 : Certifikační praxe po velké revizi

DOTAZNÍK příloha k žádosti o certifikaci

Transmisní mechanismy nestandardních nástrojů monetární politiky

Systémy řízení QMS, EMS, SMS, SLP

Z K B V P R O S T Ř E D Í

ISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA

Vymezení a význam marketingového výzkumu pro manažerské rozhodování. Základní východiska empirického přístupu, vztah. Téma č. 1

Systémy řízení EMS/QMS/SMS

Příkladná role státu? Naplňování EED a role energetických služeb se zárukou

Přehled modelů reputace a důvěry na webu

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007

egc tým Bezpečnost Hodnocení dopadů a zařazování do bezp. úrovní Závazná bezpečnostní opatření pro dodavatele

DOTAZNÍK příloha k žádosti o certifikaci

IV. Národní program hospodárného nakládání s energií a využívání jejích obnovitelných a druhotných zdrojů

Překlad a interpretace pro české prostředí

Přístupy k efektivnímu využití modelu MBI

UPLATNĚNÍ DISTANČNÍ FORMY VZDĚLÁVÁNÍ V RÁMCI PROJEKTŮ CELOŽIVOTNÍHO VZDĚLÁVÁNÍ NA FIM UHK

Vývoj informačních systémů. Obecně o IS

Uplatnění akruálního principu v účetnictví subjektů soukromého a veřejného sektoru

Normy a standardy ISMS, legislativa v ČR

REGIONÁLNÍ SEMINÁŘ V OBLASTI ENERGETIKY PRO MĚSTA A OBCE STŘEDOČESKÉHO KRAJE. Kolín, 23. září 2015

Centrum BAT při Institutu environmentálních technologií

Osnovy prezenčního studia předmětu RiJ - ŘÍZENÍ JAKOSTI

Transkript:

Bezpečnost informačních systémů a mezinárodní standardy Petr Doucek Katedra systémové analýzy Vysoká škola ekonomická v Praze nám. W Churchilla 4, 130 00 Praha 3 doucek@vse.cz Motto: Bezpečnost IS/ICT je tak kvalitní, jak je kvalitní její nejhorší článek Abstrakt Zejména v posledních několika letech se bezpečnost informačních systému a informačních a komunikačních technologií (IS/ICT) stala velmi důležitou součástí informatiky a jejího řízení ve firmách prakticky všech velikostí. Její význam neustále poroste i budoucnu hlavně z důvodu užšího zapojení České republiky do evropských struktur a tím i následně rostoucí integrací ekonomickou, politickou i technologickou. Nejaktuálnějšími tématy současnosti v oblasti bezpečnosti IS/ICT jsou pro firmy zejména: zvyšování bezpečnostního povědomí pracovníků, aplikace mezinárodních standardů, kontrola a audit bezpečnosti IS/ICT. Těmto hlavním oblastem a aplikací mazinárodních stnadardů v nich se bude věnovat můj příspěvek. Abstract IS/ICT security is nowadays often-discussed topic. It became one of the most important part of informatics in the past five years and it significance is permanently increasing thanks to the process of European integration Actual topics in IS/ICT security are: IS/ICT security awareness process, international standardisation and improvement of international standards, securoty control and auditing. General role of international IS/ICT security standards mainly ISO/IEC 17799, ISO/IEC 15408, ISO/IEC TR 13335 1-5 and ISO/IEC TR 19791 in security assurance process- especially in IS/ICT security awareness process and auditing and control are presented in this contribution. Klíčová slova bezpečnost IS/ICT, informační bezpečnost, mezinárodní standardy, ISO. Keywords IS/ICT security, information security, international standards, ISO 1 Úvod Bezpečnost IS/ICT se stala v posledních letech jednou klíčových otázek úspěšnosti velkých projektů informačních systémů a jejich nasazení do českých organizací zejména státní a veřejné správy a velkých mezinárodních firem. Protože se jedná o jeden z průřezových procesů informatiky, je při jejím řešení nutné zdůraznit jak její interdisciplinární, tak i multidisciplinární charakter. Pro řešení a vyřešení tak složitého a komplexního problému, kterým řízení bezpečnosti informačních systémů SYSTEMS INTEGRATION 2004 15

PETR DOUCEK bezpochyby je, je nutné splnit množství podmínek a mít pod kontrolou souhrn různých faktorů současně působících na informační systém organizace jako celku. Pro potřebu tohoto příspěvku jsem vybral některé oblasti, které jsou vzhledem k současné situaci ve firmách v oblasti bezpečnosti informačních systémů, velmi aktuální. Jsou to zejména následující oblasti: zvyšování bezpečnostního povědomí pracovníků, analýza bezpečnostních rizik a realizace projektů zvyšujících bezpečnost IS/ICT, prosazování mezinárodních standardů a jejich aplikace v podmínkách České republiky, kontrola a audit bezpečnosti IS/ICT. 2 Zvyšování bezpečnostního povědomí V současné době je bezpečnost informační systémů poměrně dosti populárním pojmem na straně jedné, leč na straně druhé i velmi podceňovanou oblastí. Při bližším pohledu na řízení projektů informačních systémů zjišťujeme, že je stále považována, podobně jako řízení kvality za přepychové zboží, které je pro většinu firem, zejména malých a středních, nedostupné. Management velkých firem naproti tomu většinou velmi dobře chápe význam bezpečnosti a proto jsou v takových firmách pořádány různé akce nebo kampaně pro zvýšení bezpečnostního povědomí [PSIB_03]. Jejich cílem je obvykle: seznamovat zaměstnance s problematikou informačních systémů a informačních a komunikačních technologií a jejich bezpečnosti - prevence je levnější než řešení incidentů - represe, prověřovat a testovat připravenost pracovníků na bezpečnostní incidenty a jejich řešení (problémem je naučit pracovníky identifikovat bezpečnostní incidenty), dotvářet, případně vytvářet bezpečnostní dokumentaci. Zvyšování bezpečnostního povědomí je v současné době výrazným nástrojem pro zvašování bezpečnosti informačního sdystému firmy jako takové. Poměrně rychlé nasazení a rozšíření IS/ICT do české ekonomiky v posledních deseti letech sice znamenalo velkou změnu v pracovních návycích zaměstnanců, většinou ovšem nikoli změnu v návycích ochrany aktiv IS/ICT, s nimiž pracují. Výrazný posun v chápání ochrany aktiv nastal např. ve finančním sektoru a to i díky mnohým kauzám, které se dostaly na přední stránky novin a časopisů ale v obyčejných obchodních nebo výrobních firmách se zaměstnanci starají o ochranu dat velmi málo. Proto je pro řízení informatiky nutné nejen bezpečnost IS/ICT zavádět, řídit, kontrolovat a audtovat, ale také motivovat pracovníky k jejímu dodržování. Prvním krokem k motivaci je znalost problémů a uvědomění si potenciálních rizik a jejich případných dopadů. 3 Kontrola a audit bezpečnosti Kontrola a audit IS/ICT představují organickou součást procesu zajištění bezpečnosti IS/ICT v organizaci. Jejich procesy přímo navazují na zavedení určité úrovně standardů bezpečnosti IS/ICT v organizaci a v delším časovém horizontu zaručují, že požadovaná (nastavená) úroveň bezpečnosti také dodržována. První skupinou problémů, která vlastní auditní prci de facto předchází je stanovení úrovně bezpečnosti IS/ICT v organizaci. Způsoby a možnostmi stanovení úrovně bezpečnosti v organizaci se nebudu ve svém příspěvku primárně zabývat, ale jsou velmi podobné zůpsobům ověřování jejich dodržování certifikaci nebo auditu. Obecně řečeno úroveň bezpečnosti jak produktu, tak i informačního systému je možné sestavit v souladu s mezinárodními standardy zejména [ČSN_3], [ISO_1], [ČSN_1] jako 16 SYSTEMS INTEGRATION 2004

BEZPEČNOST INFORMAČNÍCH SYSTÉMŮ A MEZINÁRODNÍ STANDARDY mozaiku požadavků na splnění určitých bezpečnostních parametrů a na míru záruky jejich splnění. Míra záruky splnění je také součástí uvedených mezinárodních standardů např. [ČSN_3], [ISO_1]. Další oblastí je provádění vlastní kontroly a auditu bezpečnosti IS/ICT. Postupy, které jsou v tomto případě uplatňovány, je možné rozdělit do následujících skupin: hodnocení a certifikace produktu podle ČSN ISO/IEC 15408, resp. podle připravované normy ISO/IEC TR 19791 - [ISO_1] audit a certifikace bezpečnosti informačního systému podle ČSN ISO/IEC 17799, řízení bezpečnostních incidentů v informačním systému [ISO_2] atestace produktu nebo informačního systému podle standardů MI ČR. Audit a certifikace informačního systému firmy podle ČSN ISO/IEC 17799 preferuje manažerský pohled na jeho bezpečnost a soustředí se na ověření a na shodu systému řízení informační bezpečnosti s touto normou. Výsledkem je certifikace informančího systému obdobně jako u ISO 900x či ISO 1400x. Tento typ nezávislého posouzení, pokud je prováděn v plném rozsahu, se soustředí na komplexní posouzení informančího systému včetně systému řízení informatiky a je používán zejména v evropském komerčním sektoru. Mezi potenciální nedostatky auditu podle tohoto systému je pojetí samotného procesu auditu a zejména některé použité metriky. Velmi často se stává, že použité metriky existence nebo neexistence dokumentů - nejsou schopny postihnout další dimensi takto auditované dokumentace a to např. její kvalitu, obsah, aktuálnost, smyluplnost procesů apod. Hodnocení a certifikace podle ČSN ISO/IEC 15408 (Common Criteria) jsou vhodné pro vyjádření bezpečnostních vlastností produktů IS/ICT. Nicméně hodnocení souladu požadvku na prokut a skutečných vlastnotí produktu je náročné na čas i na spotřebované zdroje, a proto je počet doposud hodnocených a certifikovaných produktů v řádu několika desítek až stovek. Z důvodů porovnatelnosti hodnocení jednoltivých produktů podle těchto norem, jsou zřizovány specializované certifikační laboratoře. Cena za hodnocení produktu v laboratořích je poměrně vysoká a v současné době není žádná taková laboratoř na území České reubliky. I když norma připouští pomocí tohoto postupu i hodnocení celého informančího systému, v praxi k tomuto dochází pouze velmi výjimečně. Oba výše uvedené standardy se v některých bodech významně liší zejména cílem určení, v některých bodech se naopak překrývají. Common Criteria [ČSN_3] a jejich rozšíření [ISO_1] akcentují zejména shodu bezpečnostních vlastností produktu, zatímco ČSN ISO/IEC 17799 je zaměřeno na zkoumání vlastností systému jako celku tedy instance konkrétního produktu (produktů) v konkrétních podmínkách. Vymezení bezpečnosti IS/ICT podle ČSN ISO/IEC 15408 je chápáno jaka sestavení požadavků na produkt z mozaiky v normě obsažených parametrů, které musí následně splňovat hodnocený předmět (TOE) Obr. 1. Takové pojetí se liší od původního pojetí, které představovaly zejména dřívější standardy bezpečnosti ITSEC a TCSEC. V nich byla bezpečnost IS/ICT rozdělena do tříd a dosažení každé třídy bezpečnosti představovalo splnění přesně určeného počtu atributů. Nevýhoda takového pojetí spočívá v tom, flexibilita určení si vlastních priorit bezpečnosti IS/ICT byla prakticky nulová. Pojetí uvedené v ČSN/ISO/IEC 15408 a v [ISO_1] umožňuje stanovit si vlastní množinu atributů bezpečnosti, úroveň a míru záruky jejich splnění z nabídnuté množiny. Množina nabízených atributů odráží základní procesy v řízení informatiky a jejího provozu ve formě kritérií (atributů), která musí být splněna pro úspěšný a bezpečný chod informačního systému organizace. Atributy jsou sdruženy do tříd. Každá třída je vždy vymezena svým popisem a obsahuje jednotlivé rodiny atributů. Rodina je určena popisem svého chování, dále obsahuje informace o řazení svých jednotlivých komponent (komponenta je určena svou identifikací, funkčními prvky atributy a vazby mezi nimi) do úrovní, způsob jejich správy a způsob provádění auditu. Schéma způsobu vymezení atributů a jejich pojetí je uvedeno na následujícím obrázku Obr. 1. SYSTEMS INTEGRATION 2004 17

PETR DOUCEK Předmět hodnocení (TOE) Rozhraní Bezpečnostních funkcí TOE (TSFI) Uživatel Bezpečnostní funkce TOE (TSF) / Vzdálený IT Produkt Vynucuje bezpečnostní politiku TOE (TSP) Objekt/ Informacelll Zdroj Proces Uživatel Obr. 1: Pojetí bezpečnosti IS/ICT podle ČSN ISO/IEC 15408, přejato [ČSN_3] Dalším sblížením pohledů na certifikaci a audit bezpečnosti IS/ICT je právě připravovaný mezinárodní standard ISO/IEC TR 19791 Information Technology - Security Techniques - Security Assessment for Operational Systems. Standard technical report - doplňuje rozsah normy ČSN ISO/IEC 15408 o další aspekty, které jsou převážně netechnologického charakteru. Návrh mezinárodního standardu ISO/IEC TR 19791 rozšiřuje současný platný hodnotící standard zejména o následující rodiny atributů: personální bezpečnost, řízení konfigurací včetně řízení konfigurace bezpečnosti, bezpečnostní povědomí, testování, vedení dokumentace, podpora životního cyklu. Jedním z dalších významných připravovaných mezinárodních standardů je ISO/IEC 18044 [ISO_2] Information technology - Security techniques - Information security incident management - řízení bezpečnostních incidentů, který dotváří celkový pohled na řešení otázek bezpečnosti IS/ICT. Cílem standardu je: vymezit nejdůležitější kategorie bezpečnostních incidentů, stanovit typové postupy jejich řešení, vymezit role v procesu řešení incidentů a s nimi stanovit jejich pravomoci a odpovědnosti. Součástí standardu je i vzorová dokumentace pro vedení evidence bezpečnostních incidentů. Návrh standardu lez hodnotit jako významný krok, který dotváří celkový pohled na řízení bezpečnosti informančích systémů. Je sice primárně určen pro velké organizace, ale i malé a střední firmy z něj mohou čerpat inspiraci pro řešení bezpečnostních incidentů u sebe. 18 SYSTEMS INTEGRATION 2004

BEZPEČNOST INFORMAČNÍCH SYSTÉMŮ A MEZINÁRODNÍ STANDARDY Jedním z dalších způsobů nezávislého posouzení je atestace podle standardů MI ČR. Standardy MIČR vycházejí z platných mezinárodních standardů a představují proto významnou platformu jejich zavádění do české praxe a tím i zvyšují bezpečnosntí povědomí. Tento přístup je užitečným kompromisem, který zajistí vysoké přínosy při relativně nízké spotřebě zdrojů. Původně byly tyto atestace určeny pouze pro informační systémy státní a veřejné zprávy (resp. Složky SIS), avšak objevují se případy obecnějšího uznávání těchto atestů. Nezávislé ověření a posouzení bezpečnosti IS/ICT je důležitým prvkem informační bezpečnosti, který dovoluje prohlubovat důvěru mezi výrobci a uživateli informačních a komunikačních systémů. Třetí nezávislá strana provádějící ověření bezpečnosti sehrává roli nezávislého arbitra a napomáhá při hledání vhodných kompromisů. Nezávislé posouzení ještě neznamená jendotné tím spíš jendotné v celém světě. Protože se problematikou bezpečnosti zabývá mnoho odborníků v mnoha zemích s různým kulturním a společenským zázemím, jsou v nich i různé standardy hodnocení bezpečnosti. Jejich porovnámí se zabývá mezinárodní standard ISO/IEC PDTR 15443 ( Information technology Security techniques A framework for IT security assurance ) [ISO_3], resp. ISO/IEC PDTR 15443 2. Cílem tohoto standardu přehledně uvést metody a přístupy k řešení bezpečnosti IS/ICT (produktů i informačních systémů), porovnat je mezi sebou a se standardem ISO/IEC uvedeném v ISO/IEC PDTR 15443 1. 4 Závěry Bezpečnost informačních se stává postupně jedním rozhodujících faktorů úspěchu nasazení investic vložených do IS/ICT a měřítkem jejich efektivnosti. Zrpsotředkovaně se tak stává i posouzením smysluplnosti firmou nebo institucí provozované aktivity. Samotné zavádění bezpečnosti do organizace je ovšem pro ni samou proces velmi bolestný, dlouhodobý a také poměrně nákladný. Velmi často připadá managerům, že se jedná o investici vynaloženou zbytečně a že by bylo možné prostředky. jak finanční, tak lidské využít ku prospěchu firmy lépe. Tato investice má však do určité míry charakter pojištění dokud se nic nestanem tak je zbytečná, ale jakmile se něco resp. cokoli přihodí, tak je doslova k nezaplacení. K samotnému zavádění a zavedení bezpečnosti do organizace je potřeba znalostí a schopností, které nejsou úplně běžně na trhu IS/ICT k dispozici. Proto jsou základní mechanismy a zvyklosti uloženy do mezinárodních standardů (know.how), na jejichž přípravě se podílejí experti z mnoha zemí světa nevymýšlejme, co je již hotové. Ovšem k aplikaci sebelepších standardů je nutné přistupovat kreativně ne mechanicky a je nezbytné umět je přizpůsobovat konkrétním podmínkám, v nichž je chceme aplikovat. Standardy mají sice celosvětovou platnost, ale specifika jednotlivých zemí a kultur musí vystihnout lokální odborníci. Tím platnost mezinárodních standardů nejen potvrdí, ale myšlenky v nich uložené ještě zúročí do větších efektů pro cílovou organizaci. Nastávající období postupného začleňování České republiky do vnitřních struktur Evropské unie představuje velkou příležitost pro firmy, ale na druhou stranu se tato příležitost stane skutečností pouze pro připravené a to připravené v mnoha směrech díky rostoucí globalizaci také připravené v oblasti bezpečnosti IS/ICT. 5 Literatura [BSI_99] British Standards Institution: The British Standard on Information Security Management, 1999 [ČSN_1] ČSN 36 9790 - ČSN/ISO/IEC 17799 - Informační technologie Soubor postupů pro řízení informační bezpečnosti [ČSN_2a] ČSN 36 9786 ČSN/ISO/IEC TR 13335-1 Informační technologie Směrnice pro řízení bezpečnosti IT Část 1: Pojetí a modely bezpečnosti IT SYSTEMS INTEGRATION 2004 19

PETR DOUCEK [ČSN_2b] ČSN 36 9786 ČSN/ISO/IEC TR 13335-3 Informační technologie Směrnice pro řízení bezpečnosti IT Část 3: Techniky pro řízení bezpečnosti IT [ČSN_3] ČSN 36 9786 ČSN/ISO/IEC 15408 1-3 Informační technologie Směrnice pro řízení bezpečnosti IT [DEL_03] Delina, R., Grohol, M.: Performance Measurement of B2B Procurement with Focus on Dynamic Transaction Mechanisms [DOU_03a] Doucek, P.: IS/ICT Security in Czech Firms, In: Strategic Management and its Support by Information Systems, VŠB Ostrava, 2003, ISBN 80-248-0405-0 [DOU_03b] Doucek, P.: Bezpečnost informační systémů a její prosazování v České republice, In: Informatika 2003, pp. 141 146, Bratislava 2003, ISBN 80-233-0491-7 [DOU_04] Doucek, P.: IS/ICT Security Auditing and Control, In: Organizational Science Development, Faculty of Maribor, 2004, ISBN 961-232-166-3 [HAL_01] Halouzka, J., Racková, E., Seige, V.: Informační bezpečnost příručka manažera, Tate International, Praha, 2001 [HAB_03] Habrda, J: Analýza rizik bezpečnosti IS/IT vývoj metodiky pro velký strojírenský podnik, diplomová práce VŠE Praha, Praha 2003 [HAN_00] Hanáček, P., Staudek, J.: Bezpečnost informačních systémů, Úřad pro státní informační systém, Praha 2000 [ISO_1] ISO/IEC TR 19791 - Information technology -Security techniques - Security assessment for operational systems [ISO_2] ISO/IEC 18044 - Information technology - Security techniques - Information security incident management [ISO_3] ISO/IEC PDTR 15443, Information technology Security techniques A framework for IT security assurance [LAV_00] Lavrin A., Orbanová I., Distance Education, New Approach to University Education, ISTEP 2000, Intrenational Symposium on Telemedicine and Teleeducation in Practice, Proceedings, Elfa s.r.o., ISBN 80-88964-38-5, pp 183 185, 2000. [PSIB_03] DSM, NBÚ, E&Y: Průzkum stavu informační bezpečnosti v ČR oficiální zpráva o výsledcích, 2003 Interní materiály bezpečnostních projektů 20 SYSTEMS INTEGRATION 2004

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář