Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Podobné dokumenty
Regulace a normy v IT IT Governance Sociotechnický útok. michal.sláma@opava.cz

Cobit 5: Struktura dokumentů

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

Management informační bezpečnosti

Co je to COBIT? metodika

Systém řízení informační bezpečnosti (ISMS)

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Nástroje IT manažera

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Nástroje IT manažera

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

3 Bezpečnostní politika 3/1 Základní pojmy, principy standardy a požadavky

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Informační bezpečnost. Dana Pochmanová, Boris Šimák

4. Standardy bezpečnosti Řízení kvality (audit) IS BIVŠ 2016

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Bezpečnostní politika společnosti synlab czech s.r.o.

Praktické zkušenosti s certifikací na ISO/IEC 20000

KIV/SI. Přednáška č.2. Jan Valdman, Ph.D.

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok

Normy a standardy ISMS, legislativa v ČR

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Nadpis presentace. Řízení IT v malých. útvarech aneb Light verze IT governance

Procesní řízení IT. Ing. Hana Neničková, MBA

Státní pokladna. Centrum sdílených služeb

Bezpečnostní politika společnosti synlab czech s.r.o.

4. Metodiky auditu ( Cobit 4 a Cobit 5) Řízení kvality (audit) IS BIVŠ ZS15

METODIKY ŘÍZENÍ ICT: ITIL, COBIT, IT GOVERNANCE

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

Platná od Bezpečnostní politika. Deklarace

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

O2 a jeho komplexní řešení pro nařízení GDPR

Zkouška ITIL Foundation

Jak na jakost v podnikovém IT Evropský týden kvality Praha

Risk management a Interní audit

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

Příspěvek je věnován základním informacím o způsobu volby vhodné strategie řízení kontinuity činností v organizaci.

3.přednáška. Informační bezpečnost: Řízení IS/IT

Bezpečnostní politika a dokumentace

Návrh softwarových systémů - softwarové metriky

Obsah. Úvod 9 Zpětná vazba od čtenářů 10 Errata 10

organizací IT Vladimír r Kufner

Řízení kybernetické a informační bezpečnosti

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

METODIKA PROVÁDĚNÍ AUDITU COBIT

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Předmluva: Vítejte v ITIL! Úvod 15 IT Infrastructure Library O této knize ITIL (IT Infrastructure Library ) 1.3. Služby a správa služeb

HODNOCENÍ VÝKONNOSTI PODNIKU VE SPOJITOSTI SE STRATEGICKÝMI CÍLY

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

1. KURZ č. 1 - QMS - Školení a výklad normy ČSN EN ISO 9001: KURZ č. 2 - QMS - Školení interních auditorů QMS a metrologa

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi října 2011 r

BEZPEČNOSTNÍ ROLE. a jejich začlenění v organizaci

Není cloud jako cloud, rozhodujte se podle bezpečnosti

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

Řízení informační bezpečnosti a veřejná správa

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

Jan Hřídel Regional Sales Manager - Public Administration

Věstník ČNB částka 18/2010 ze dne 21. prosince ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Procesní řízení a normy ISO, ITIL, COBIT, HIPAA, SOX

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.

V Brně dne 10. a

V Brně dne a

TVORBA BEZPEČNOSTNÍ POLITIKY ORGANIZACE A HAVARIJNÍHO PLÁNU

Vnitřní kontrolní systém a jeho audit

Bezpečnost na internetu. přednáška

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

1.1. Správa a provozní podpora APV ROS, HW ROS a základního SW

CobiT 4.1 a jeho vztah k ITIL

Proč nový styl řízení ICT

Bezpečnostní normy a standardy KS - 6

Bezepečnost IS v organizaci

ITIL Základní přehled. Marek Rychlý (Ivana Burgetová)

Obsah. Příloha č. 2: Standardy a doporučení Verze:

Vazba na Cobit 5

Výsledky prieskumu ITSM 2008 Informácie o stave ITSM v SR a ČR

Bezpečnostní politika společnosti synlab czech s.r.o.

Technická specifikace předmětu plnění:

Security. v českých firmách

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

BEZPEČNOSTI INFORMACÍ

Z K B V P R O S T Ř E D Í

Otázky kurzu 4IT417 Řízení podnikové informatiky verze z 1/2/ Podniková informatika pojmy a komponenty

Je Smart Grid bezpečný?

Verze 3 základní představení

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad

Překlad a interpretace pro české prostředí

Security. v českých firmách

Management rizika Bc. Ing. Karina Mužáková, Ph.D. BIVŠ,

ČESKÁ TECHNICKÁ NORMA

Strategické směrování řízení IT v České republice a ve středoevropském regionu

Metodika COBIT 4.0 a její vazby na audit

Transkript:

Standardy/praktiky pro řízení služeb informační bezpečnosti Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Služby informační bezpečnosti Nemožnost oddělit informační bezpečnost od IT služeb součást všech IT služeb Specifický druh IT služeb úrovně: Operativní security services (zálohování, archivace) Taktická security management (např. BCP) Strategická (Security Governance, plán, zavedení ISMS metriky) Možnost insourcing outsourcing Outsourcing nutnost integrovat dva ISMS, SLA PROBLÉMY

ŘEŠENÍ Standardy/praktiky pro ISM: ITIL V3 OGC, nejlepší praktika pro ITSM JAK? Cobit 4.1 ITGI, základní rámec pro IT Governance, CO? ISO/IEC 27002:2005 zavádění ISMS

ITIL V3 Knihy: Strategie služeb (Service Strategy) Návrh služeb (Service Design) Implementace služeb (Service Transition) Provoz služeb (Service Operation) Průběžné zlepšování služeb (Continual Service Improvement) Informační bezpečnost: každý proces (např. v procesu Supplier Management (Service Design) popis náležitostí kontraktu na dodávku služeb: definování bezpečnostních požadavků a požadavků na kontinuitu služeb), Kniha Service Design proces Information Security Management (ISM)

Kniha Návrh služeb: proces ISM (1) Propojení dalších procesů návrhu služeb: Řízení katalogu služeb (Service Catalog Management) Řízení úrovní služeb (Service Level Management) Řízení dostupnosti (Availability Management) Řízení kapacity (Capacity Management) Řízení kontinuity služeb IT (IT Service Continuity Management) Řízení dodavatelů (Supplier Management)

Kniha Návrh služeb: proces ISM (2) Subprocesy: Návrh bezpečnostních kontrol: návrh vhodných technických a organizačních kontrol důvěrnosti, integrity a dostupnosti aktiv, informací, dat a služeb organizací Testování bezpečnosti: pravidelné testování zavedených kontrol a jeho reporting Řízení bezpečnostních incidentů preventivní kontroly: (např. kontrola přístupových práv) reduktivní kontroly: proaktivní minimalizace škod (např. pravidelné denní zálohy, testování plánů obnovy) detekční kontroly: identifikace incidentů (např. monitorovánísítě) represivní kontroly: zabraňují opakování nebo pokračování incidentů (např. zablokování systému při nesprávném heslu nebo PIN), korektivní kontroly: náprava škod způsobených bezpečnostním incidentem (např. obnova systému ze zálohy), Hodnocení bezpečnosti: zhodnocení stavu informační bezpečnosti vzhledem kměnícím se podnikatelským rizikům

COBIT 4.1 Control Objectives for IT and Related Technologies definuje množinu cílůřízení (Control Objectives) pro oblast IT Sada dokumentů Framework, Control Objectives, Management Guidelines a Maturity Models 34 procesů, 4 domény: Plánování a organizace, Pořízení a implementace, Dodávka a podpora a Monitorování a hodnocení, 214 control objectives Informační bezpečnost: součástí téměř každého definovaného procesu (např. vprocesu PO4 Definice IT procesů, jejich organizace a vazeb ve formě kontrolního cíle PO4.8: Odpovědnost za rizika, bezpečnost a soulad se standardy, samostatný proces domény Dodávka a podpora DS5: Zajištění bezpečnosti systémů příručka Cobit Security Baseline Mimo Cobit: Information Security Governance: Guidance for Information Security Managers Enterprise Risk: Identify, Govern and Manage IT Risk

DS5 Zajištění bezpečnosti systémů obecný popis procesu včetně zdůraznění vazby na cíle IT Governance Řízení rizika, přehled cílů řízení tohoto procesu: DS5.1 Řízení informační bezpečnosti DS5.7 Ochrana bezpečnostních technologií DS5.2 Plánování informační bezpečnosti DS5.8 Správa kryptografických klíčů DS5.3 Řízení autentizace a autorizace DS5.9 Prevence, detekce a korekce škodlivých programů DS5.4 Řízení uživatelských účtů DS5.10 Bezpečnost sítí DS5.5 Testování, dohled a monitorování bezpečnosti DS5.11 Výměna citlivých dat DS5.6 Definování bezpečnostních incidentů přehled potřebných vstupních dat z jiných procesů přehled výstupů, které tento proces poskytuje jiným procesům přehled aktivit procesu a odpovědností za ně podle liniových rolí ve firmě např. za činnost: pravidelná kontrola a hodnocení uživatelských práv by měl být odpovědný vlastník business procesu, který může tuto odpovědnost delegovat na roli odpovědnou za audit nebo řízení rizika a bezpečnosti, CIO by měl být o této aktivitě informován a vedoucí provozu konzultován přehled cílů a metrik; tři úrovně cílů (IT, procesní a aktivit) a dva druhy metrik (outcome measures metriky výstupu a performance indicators metriky realizace) modely zralosti procesu CMM

IT CÍLE např. Zajistit integritu informací a infrastruktury CÍLE PROCESŮ např. Umožnit přístup ke kritickým a citlivým údajům pouze autorizovaným uživatelům CÍLE AKTIVIT např. Definovat bezpečnostní incidenty Počet incidentů s dopadem na podnikové procesy Počet systémů, u kterých se nedodržují požadavky bezpečnosti Čas potřebný pro udělení, změnu a odebrání uživatelských práv Počet a druh očekávaných a skutečných narušení přístupu Počet porušení zásady oddělení odpovědností Procento uživatelů, kteří nedodržují standardy hesel Počet a druh odstraněných škodlivých kódů Frekvence a počet monitorovaných bezpečnostních událostí Počet a druh zastaralých účtů Počet neautorizovaných IP adres, portů a výpadků provozu Procento prozrazených kryptografických klíčů Počet přidělených, změněných nebo zrušených přístupových práv

CobiT Security Baseline Sada pro přežití Information Security Survival Kit Rozdíl proti Cobit 4.1 Cobit: bezpečnost jako jedno z mnoha rizik spojených spoužíváním IT Cobit Security Baseline: rizika specifická pro informační bezpečnost,různí uživatelé Obsah: 20 bezpečnostních procesů, které jsou provázány na domény Cobit 4.1 44 kontrolních kroků, vazby na obsah ISO/IEC 27002 a procesy Cobit 4.1 sady pro přežití : domácí uživatelé, profesionální uživatelé, manažeři, výkonní ředitelé, vyšší výkonní ředitelé a členové představenstva Pro každou tuto skupinu uživatelů příručka nabízí Přehled rizik spojených s danou skupinou uživatelů Dotazník, který má pomoci dané skupině uživatelů zhodnotit, zda dodržují pravidla ISG Seznam akcí, které by měli realizovat Závěr: bezpečnostní rizika tři kategorie: Rizika záměrného zneužití počítače (trojský kůň, DOS, Email spoofing, spamming atd.) Rizika plynoucí z porušení pravidel, norem (porušení autorského práva, nepřiměřené využívání internetu, průmyslová špionáž, nesoulad s pravidly a regulacemi) Havárie (porucha disku, porucha dodávky elektřiny, problémy softwaru).

ISO/IEC 27002:2005 Soubor postupů pro management bezpečnosti informací ucelená vyvážená soustava opatření pro ochranu informačních aktiv 11 oblastí, každá oblast dále obsahuje tzv. cíle opatření (celkem 39) a opatření (133) Oblasti ISMS : Bezpečnostní politika Organizace bezpečnosti Klasifikace a řízení aktiv Bezpečnost lidských zdrojů Fyzická bezpečnost a bezpečnost prostředí Řízení komunikací a provozu Řízení přístupu Akvizice, vývoj a údržba IS Zvládání bezpečnostních incidentů Řízení kontinuity činností organizace Soulad s požadavky

Forma Způsob vnímání inf. bezpečnosti Velikost organizace Primárně určena pro Možnost certifikace procesů Možnosti zavádění ITIL Nejlepší praxe Jako součást řízení IT služeb Velká, střední IT specialisty ANO ISO/IE C 20000 Interně Externě COBIT Rámec/ nejlepší praxe Jako součást regulatorních požadavků na Corporate nebo IT Governance Všechny velikosti Pro všechny uživatele NE Interně ISO/IEC 27002 Norma Jako součást regulatorních požadavků v oblasti ochrany soukromí dat, řízení rizika Velká Specialisty řízení informační bezpečnos ti ANO Externě

Jaká řešení ve vazbě na řízení IT rizik užíváte nebo plánujete použít? (Vzorek: 749 CIO a CEO, 23 zemí)

Děkuji za pozornost!

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář