Projekt implementace ISMS, Dodatek 2, Pozn amky k projektov emu rzen PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2016
Obsah dodatku predn asky Podrobn y popis krok u/v ystup u Projektu implementace ISMS Pozn amky, doporucen k integraci ISMS s ostatnmi syst emy organizace Pozn amky, doporucen k postup um rzen projektu Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 1
Faze projektu implementace ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 2
Dlc kroky f az projektu implementace ISMS 1. Zsk an souhlasu veden organizace pro zah ajen implem. ISMS 1.1 Objasn en priorit organizace pro projekt ISMS 1.2 Predb ezn a denice oblasti p usobnosti ISMS 1.3 Vytvoren zak azky a pl anu projektu implementace ISMS pro odsouhlasen vedenm organizace 2. Denov an oblasti p usobnosti ISMS a politiky ISMS 2.1 Denov an oblasti a hranic inf. bezpecnosti v organizaci 2.2 Denov an oblasti a hranic informacnch a komunikacnch technologi (ICT) 2.3 Denov an fyzick e oblasti a hranic 2.4 Integrace vsech oblast a hranic do oblasti a hranic ISMS 2.5 V yvoj politiky ISMS a zsk an souhlasu od veden Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 3
Dlc kroky f az projektu implementace ISMS 3. Anal yza pozadavk u organizace na informacn bezpecnost 3.1 Denov an pozadavk u organizace na inf. bezpecnost 3.2 Identikace aktiv v oblasti p usobnosti ISMS 3.3 Ohodnocen informacn bezpecnosti 4. Ohodnocen rizik a vypracov an pl anu zvl adnut rizik 4.1 Ohodnocen rizik 4.2 V yber cl u opatren a opatren 4.3 Zsk an souhlasu veden organizace s implementac a provozov anm ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 4
5. N avrh ISMS Dlc kroky f az projektu implementace ISMS 5.1 N avrh informacn bezpecnosti v organizaci 5.2 N avrh fyzick e a ICT informacn bezpecnosti 5.3 N avrh informacn bezpecnosti specick e pro ISMS 5.4 Vytvoren n alnho pl anu projektu ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 5
1. Zsk an souhlasu veden organizace pro zah ajen projektu Veden organizace mus pochopit smysl zak azky projekt implementace ISMS a zak azku schv alit Clem uvodn f aze je umoznit veden organizace pochopit v yznam ISMS a vyjasnit role a odpov ednosti v informacn bezpecnosti v organizaci potrebn e k realizaci projektu implementace ISMS. Kroky 1.1 Objasnění priorit organizace pro projekt ISMS 1.2 Předběžná definice oblasti působnosti ISMS 1.3 Vytvoření zakázky a plánu projektu pro odsouhlasení vedením organizace Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 6
1. Zsk an souhlasu veden organizace pro zah ajen projektu Ocek avan y v ystup t eto uvodn f aze predb ezn e schv alen projektu ISMS vedenm organizace a z avazek veden organizace ISMS implementovat denice zak azky projekt implementace ISMS a predb ezn eho pl anu projektu ISMS s klcov ymi milnky Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 7
1.1 Objasn en priorit organizace pro projekt ISMS Vstupy Strategick e cle organizace Prehled existujcch syst em u rzen v organizaci Seznam pr avnch, regulacnch a smluvnch pozadavk u na informacn bezpecnost vztahujc se na organizaci Cle implementace ISMS se odvod z odpov ed na ot azky Jak ISMS zajist leps rzen rizik informacn bezpecnosti? Jak ISMS zleps rzen informacn bezpecnosti? Jakou konkurencn v yhodu pro organizaci m uze ISMS vytvorit? Priority a pozadavky na informacn bezpecnost ovliv nuj faktory co jsou kritick e oblasti (podnik an, organizace)? existuj vztahy a dohody s tretmi stranami? Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 8
1.1 Objasn en priorit organizace pro projekt ISMS existuj outsourcovan e sluzby? kter a informacn aktiva jsou kritick a? jak e by byly pravdepodobn e d usledky, pokud by se nekter e informace zprstupnily nepovolan ym osob am (napr. ztr ata konkurencn v yhody, poskozen znacky a povesti, zaloba,... )? kter e z akony vztahujc se ke zvl ad an rizik se vztahuj na organizaci? m a organizace charakter verejn e organizace s otevren ym nancov anm? jak e jsou pozadavky na uloziste dat (vcetne doby uchov av an)? existuj n ejak e smluvn z avazky t ykajc se soukrom nebo kvality (napr. smlouva o urovni sluzeb, SLA, Service Level Agreement) jak y druh ochrany je zapotreb proti kter ym hrozb am? jak e jsou r uzn e kategorie informac, kter e vyzaduj ochranu? jak e jsou typy informacnch aktivit, kter e je treba chr anit? Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 9
1.1 Objasn en priorit organizace pro projekt ISMS kter a opatren v oblasti informacn bezpecnosti by m ely prin est konkurencn v yhodu pro organizaci? kter e podnikatelsk e procesy jsou klcov e z pohledu pozadavku zachov an kontinuity podnik an? jak dlouho m uze organizace tolerovat prerusen kazd eho kritick eho podnikatelsk eho procesu? V ystup dokument shrnujc cle, priority informacn bezpecnosti, person aln a organizacn predpoklady pro ISMS seznam predpis u, smluvnch a technick ych pozadavk u t ykajcch se informacn bezpecnosti organizace popisn a charakteristika cinnosti organizace, jejho umst en, majetku (aktiv) a technologi organizace Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 10
1.2 Predb ezn a denice oblasti p usobnosti ISMS Vstupy v ystup 1.1 Objasnění priorit organizace pro projekt ISMS seznam subjekt u, kter e budou mt prospech z v ysledk u projektu ISMS Predb ezn a denice oblasti p usobnosti ISMS zahrnuje Seznam kritick ych podnikatelsk ych proces u, syst em u, informacnch aktiv, organizacnch struktur a lokalit, na kter e se bude aplikovat ISMS popis jak c asti v oblasti spolupracuj s dalsmi syst emy rzen Charakteristiky podnik an, organizace, lokality, aktiv a technologi Denice rol a odpov ednost v predb ezn e oblasti ISMS Veden by m elo explicitn e stanovit roli (typicky Chief Information Security Officer, Information Security Manager apod.) s celkovou odpov ednost za rzen informacn bezpecnosti a zam estnanc um by m ely b yt prirazeny role a povinnosti zalozen e na dovednostech potrebn ych k v ykonu jejich pr ace Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 11
1.2 Predb ezn a denice oblasti p usobnosti ISMS Celkov a odpovednost za plnen ukol u prirozene z ust av a na veden, ale jedna osoba (obvykle Chief Information Security Officer) je pov erena p ec o procesy zajist'ujc informacn bezpecnost Kazd y zamestnanec je stejne zodpovedn y jak za sv e pracovn v ykony, tak za udrzen informacn bezpecnosti na pracovisti a v organizaci Vztah st avajcch syst em u rzen, regulacnch a organizacnch cl u, predpis u, kter ym se mus vyhovet,... V ystupy dokument, kter y predb ezn e popisuje oblast p usobnosti ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 12
1.3 Vytvoren zak azky a pl anu projekt implementace Vstupy v ystupy 1.1 Objasnění priorit organizace pro projekt ISMS v ystupy 1.2 Předběžná definice oblasti ISMS { oblast p usobnosti, role, odpov ednosti Vytvoren zak azky a inici alnho pl anu projektu implementace ISMS slouz jako z akladna projektu a tak e zajist'uje z avazek veden a schv alen vedenm zdroj u potrebn ych pro implementaci ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 13
1.3 Vytvoren zak azky a pl anu projektu Zak azku charakterizuje prohl asen pokr yvajc t emata strategick e a konkr etn cle prnosy pro organizaci predbezne vymezen a oblast ISMS vcetne dotcen ych podn. proces u kritick e procesy a faktory pro dosazen konkr etnch cl u ISMS konceptu aln popis projektu inici aln pl an implementace denovan e role a odpov ednosti pozadovan e zdroje (technologie a lid e) rozvaha o implementaci zvazujc rovn ez st avajc inf. bezpecnost casov a osa s d ulezit ymi milnky predpokl adan e n aklady kritick e faktory usp echu kvantikace prnos u pro organizaci Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 14
1.3 Vytvoren zak azky a pl anu projektu V ystupy dokumentovan e schv alen realizace projektu implementace ISMS a prid elen ych zdroj u vedenm organizace oci aln, dokumentovan e vytvoren zak azky Inici aln n avrh projektu ISMS s meznky typu { proveden ohodnocen rizik, { implementace, { intern audity { prezkoum an vedenm {... Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 15
F aze projektu implementace ISMS { v ystupy krok u 1. f aze Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 16
2. Denov an oblasti p usobnosti ISMS a politiky ISMS Cl Presn e denovat oblast p usobnosti a hranice ISMS, a vyvinout politiku ISMS a zskat odsouhlasen od veden Detailn e se vymez oblast p usobnosti ISMS a politika ISMS s ohledem na kritick a informacnch aktiva organizace a zsk a se odsouhlasen vedenm organizace Kroky 2.1 Definování oblasti a hranic organizace 2.2 Definování oblasti a hranic informačních a komunikačních technologií (ICT) 2.3 Definování fyzické oblasti a jejích hranic 2.4 Integrace všech oblastí a hranic do oblasti a hranic ISMS 2.5 Vývoj politiky ISMS a získání souhlasu od vedení Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 17
2.1 Denov an oblasti a hranic organizace Vstupy v ystup 1.2 Předběžná definice oblasti působnosti ISMS v ystup 1.1 Objasnění priorit organizace pro projekt ISMS Denuj se oblast a hranice p usobnosti ISMS v organizaci V ystupy popis hranice organice pro ISMS, vcetn e od uvodn en proc a kter e c asti organizace byly vylouceny z oblasti p usobnosti ISMS, popis funkce a struktury c ast organizace v oblasti p usobnosti ISMS, identikace informac vym e novan ych v oblasti a informac vym e novan ych pres hranice oblasti p usobnosti ISMS organizace proces u a odpov ednosti za informacn aktiva v oblasti p usobnosti ISMS a mimo tuto oblast proces hierarchie rozhodov an a struktura ISMS. Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 18
2.2 Denov an oblasti a hranic ICT Vstupy v ystup 1.2 Předběžná definice oblasti působnosti ISMS v ystup 2.1 Definování oblasti a hranic organizace Denuj se ICT v oblast p usobnosti ISMS v organizaci V ystup Popis informac vyme novan ych v oblasti v r amci a informac vym e novan ych pres hranice oblasti hranice ICT pro ISMS, vcetn e prpadn eho od uvodn en vyloucen n ekter ych ICT organizace z oblasti ISMS informacn syst emy a telekomunikacn st e, popis, co se nach az v oblasti p usobnosti ISMS, vc. rol a odpovednost za tyto syst emy Strucn y popis syst em u mimo oblast p usobnosti ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 19
2.3 Denov an fyzick e oblasti a hranic ISMS Vstupy v ystup 1.2 Předběžná definice oblasti působnosti ISMS v ystup 2.1 Definování oblasti a hranic organizace v ystup 2.2 Definování oblasti a hranic ICT Vedle denov an fyzick e oblasti a hranic ISMS je nutno respektovat vzd alen a zarzen z akaznick a rozhran rozhran informacnch syst em u a sluzeb poskytovan ych sluzeb tretmi stranami rozhran a urovn e sluzeb funkce nebo popisy proces u s prihl ednutm k jejich fyzick ym umst enm a oblasti spravovan e organizac Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 20
2.3 Denov an fyzick e oblasti a hranic ISMS zvl astn zarzen pouzvan a pro skladov an ci uchov av an ICT hardware nebo vnitrnch dat (napr. na archivnch p ask ach) na z aklade pokryt hranic ICT. Nen-li jedna nebo vce z v yse uveden ych polozek rzena organizac, ale tret stranou, mus to b yt r adn e zdokumentov ano V ystup popis fyzick ych hranic ISMS, vcetn e prpadn eho od uvodn en vyloucen n ekter ych lokalit organizace z oblasti ISMS popis organizace a jejich geograck ych charakteristik souvisejcch s denic hranic oblasti p usobnosti ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 21
2.4 Integrace vsech oblast a hranic do oblasti a hranic ISMS Vstupy v ystup 1.2 Předběžná definice oblasti působnosti ISMS v ystup 2.1 Definování oblasti a hranic organizace v ystup 2.2 Definování oblasti a hranic ICT v ystup 2.3 Definování fyzické oblasti a hranic ISMS Integrace Oblast p usobnosti ISMS lze popsat a zd uvodnit mnoha zp usoby Naprklad se vybere se fyzick a lokalita typu datacentrum nebo kancel ar a popisuj se zde p usobc kritick e procesy, z nichz kazd y zasahuje i do uzem mimo takovou lokalitu a tato uzem proto zan as do oblasti p usobnosti ISMS. Takov ym kritick ym procesem m uze b yt, naprklad, mobiln prstup do centr alnho informacnho syst emu. Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 22
2.4 Integrace vsech oblast a hranic do oblasti a hranic ISMS V ystupy dokument popisujc oblast a hranice ISMS, obsahujc { klcov e charakteristiky organizace (jej funkce, struktura, sluzby, aktiva a oblast a hranice odpov ednosti za kazd e aktivum) { procesy organizace cinn e v oblasti p usobnosti ISMS { kongurace zarzen a st v oblasti p usobnosti ISMS { predb ezn y seznam informacnch aktiv v oblasti p usobnosti ISMS { seznam ICT aktiv v oblasti p usobnosti ISMS (napr. servery) { mapy lokalit v oblasti p usobnosti ISMS, s uvedenm fyzick ych hranic ISMS { popisy rol a odpovednost popisy ISMS a jejich vztahy se strukturou organizace { podrobnosti a zd uvodn en prpadn ych v yjimek z oblasti p usobnosti ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 23
2.5 V yvoj politiky ISMS a zsk an souhlasu od veden Vstupy v ystup kroku 2.4 Integrace všech oblastí a hranic do oblasti působnosti a hranic ISMS v ystup kroku 1.1 Objasnění priorit organizace pro projekt ISMS v ystup kroku 1.3 Vytvoření zakázky a plánu projektu Mus se vypracovat politika ISMS a mus se zskat schv alen veden Denov an politiky ISMS mus vzt do uvahy stanoven cl u ISMS na z aklad e pozadavk u organizace a priorit v oblasti informacn bezpecnosti organizace stanoven smeru a vodtek k akcm resen ym k dosazen cl u ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 24
2.5 V yvoj politiky ISMS a zsk an souhlasu od veden zv azen pozadavk u organizace, pr avnch nebo regulacnch a smluvnch z avazk u t ykajc se informacn bezpecnosti kontext rzen rizik v r amci organizace stanoven krit eri pro hodnocen rizik a denov an struktury ohodnocen rizik objasn en nejvyssmu managementu odpov ednosti z pohledu ISMS zsk an souhlas veden organizace V ystupy Dokument, kter y popisuje dokumentovanou politiku ISMS schv alenou vedenm Dokument m a b yt potvrzen znovu, v pozdejs f azi projektu, protoze je z avisl y na v ysledku hodnocen rizik Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 25
Faze projektu implementace ISMS { vystupy kroku 2. faze Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 26
3. Anal yza pozadavk u organizace na informacn bezpecnost Pro denov an relevantnch pozadavk u podporovan ych ISMS se mus identikovat informacn aktiva a zskat aktu aln stav informacn bezpecnosti v oblasti p usobnosti ISMS Kroky 3.1 Definování požadavků organizace na inf. bezpečnost 3.2 Identifikace aktiv v oblasti působnosti ISMS 3.3 Ohodnocení informační bezpečnosti Shrom azd en e informace mus veden organizace sd elit datum zah ajen projektu identikovat a dokumentovat podmnky pro realizaci projektu poskytnout jasn e a srozumiteln e popsan e vybaven organizace respektovat konkr etn okolnosti a situaci organizace identikovat pozadovan e urovn e ochrany informac stanovit soubor informac potrebn ych pro celou nebo pro c ast organizace nach azejc se v oblasti implementace Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 27
3.1 Denov an pozadavk u organizace na inf. bezpecnost Vstupy v ystup 1.1 Objasnění priorit organizace pro projekt ISMS v ystup 2.4 Integrace všech oblastí a hranic do oblasti a hranic ISMS v ystup 2.5 Vývoj politiky ISMS a získání souhlasu od vedení { politika ISMS Zdroje denice predb ezn a identikace d ulezit ych informacnch aktiv a jejich aktu alnho zabezpecen identikace vize organizace a odvozen dopadu zjist en ych viz na budouc pozadavky na zpracov an informac anal yza st avajcch forem zpracov an informac, syst emov ych aplikac, komunikacnch st, lokalit aktivit a IT zdroje,... Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 28
3.1 Denov an pozadavk u organizace na inf. bezpecnost identikace vsech podstatn ych pozadavk u (pr avn a regulatorn pozadavky, smluvn z avazky, pozadavky organizace, pr umyslov e standardy, z akaznick e a dodavatelsk e smlouvy, pojistn e podmnky) zjist en urovn e pov edom o informacn bezpecnosti v kazd e provozn a administrativn jednotce organizace a odvodit pozadavky na vzdel av an a odbornou prpravu V ystupy identikace hlavnch proces u, funkc, lokalit, informacnch syst em u a komunikacnch st a informacnch aktiv organizace klasikace kritick ych proces u a aktiv pozadavky na informacn bezpecnost odvozen e od pr avnch, regulatornch a smluvnch z avazk u organizace seznam verejn e zn am ych zranitelnost, kter e budou reseny spln enm pozadavk u na informacn bezpecnost pozadavky na skolen a vzd el av an v informacn bezpecnosti Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 29
3.2 Identikace aktiv v oblasti p usobnosti ISMS Vstupy v ystup 2.4 Integrace všech oblastí a hranic do oblasti a hranic v ystup 2.5 Vývoj politiky ISMS a získání souhlasu od vedení v ystup 3.1 Definování požadavků organizace na inf. bezpečnost Pro identikaci aktiv v oblasti ISMS je uv est informace: jedinecn e jm eno procesu popis procesu a souvisejc cinnosti (tvorba, ukl ad an, prenos, rusen) kriticnost proces v uci organizaci (kritick y, d ulezit y, podporujc) vlastnk procesu (organizacn slozka) procesy poskytujc vstupy a v ystupy tohoto procesu IT aplikace podporujc tento proces informacn klasikace aktiv (d uv ernost, integrita, dostupnost, rzen prstupu, nepopiratelnost, a / nebo dals d ulezit e vlastnosti pro organizaci, naprklad, jak dlouho se informacn aktivum m a uchov avat) Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 30
3.2 Identikace aktiv v oblasti p usobnosti ISMS V ystupy identikace informacnch aktiv hlavnch proces u organizace v oblasti p usobnosti ISMS Klasikace kritick ych proces u a informacnch aktiv Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 31
3.3 Ohodnocen informacn bezpecnosti Vstupy v ystup 2.4 Integrace všech oblastí a hranic do oblasti a hranic v ystup 2.5 Vývoj politiky ISMS a získání souhlasu od vedení v ystup 3.1 Definování požadavků organizace na inf. bezpečnost v ystup 3.2 Identifikace aktiv v oblasti působnosti ISMS prov ad na z aklad e porovn an skutecn eho stavu informacn bezpecnosti organizace s pozadovan ymi cli organizace postup je n asledujc: vyberou se d ulezit e podnikov e procesy a procesn kroky souvisejc s pozadavky na informacn bezpecnost vytvor se komplexn blokov e sch ema pokr yvajc hlavn procesy organizace vcetn e (logick e a technick e) infrastruktury, pokud jiz nen hotov e nebo udelan e pri anal yze organizace Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 32
3.3 Ohodnocen informacn bezpecnosti diskuse s relevantnmi klcov ymi pracovnky a anal yza soucasn e situace organizace z pohledu pozadavk u na informacn bezpecnost. Naprklad, kter e procesy jsou kritick e, jak funguj soucasn e dob e? (V ysledky se pozd eji pouzij pri ohodnocen rizika.) stanov se nedostatky opatren porovn anm st avajcch opatren s drve identikovan ymi pozadavky na opatren zkompletuje se a zdokumentuje soucasn y stav. V ystupy dokument shrnujc ohodnocen y stav zabezpecen organizace a hodnocen zranitelnost Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 33
Faze projektu implementace ISMS { vystupy kroku 3. faze Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 34
4. Ohodnocen rizik a vypracov an pl anu zvl adnut rizik Denuje se metodika ohodnocen rizik, identikuj se, analyzuj se a hodnot se rizika informacn bezpecnosti, aby se mohly vybrat varianty zvl ad an rizik, cle opatren a vlastn opatren Kroky 4.1 Ohodnocení rizik 4.2 Výběr cílů opatření a opatření 4.3 Získání souhlasu vedení organizace s implementací a provozováním ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 35
4.1 Ohodnocen rizik Vstupy v ystup 3. Analýza požadavků organizace na informační bezpečnost { stav bezpecnosti a seznam aktiv v ystup 2. Definování oblasti působnosti ISMS a politiky ISMS standard ISO/IEC 27005 { Rzen rizik Ohodnocen rizik m a identikovat hrozby a jejich zdroje identikovat st avajc a pl anovan e opatren identikovat zranitelnosti, kter e mohou b yt vyuzt hrozby a zp usobit tak skodu na aktivech nebo na organizaci identikovat mozn e dopady utok u na aktiva z hledisek ztr at d uv ernosti, integrity, dostupnosti, nepopiratelnosti... ohodnotit dopady informacn e bezpecnostnch incident u na podnik an Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 36
4.1 Ohodnocen rizik ohodnotit pravd epodobnosti sc en ar u incident u odhadnout urovn e rizik porovnat urovn e rizik v uci krit erim hodnocen rizik a krit erim prijatelnosti rizik V ystupy popis metodologie ohodnocen rizik v ysledek ohodnocen rizik Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 37
4.2 V yber cl u opatren a opatren Vstupy v ystup 4.1 Ohodnocení rizik standard ISO/IEC 27005 standard ISO/IEC 27002 je nutn e si uvedomit, ze seznam opatren je velmi pravd epodobn e citlivou informac V ystupy Seznam cl u opatren a vybran ych opatren Pl an zvl ad an rizik { Popis vztahu mezi riziky a vybran ych volbami resen zvl ad an rizik { Popis vztahu mezi riziky a vybran ych cl u opatren a opatren (rescch snzen rizik) Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 38
4.3 Zsk an souhlasu s implementac a provozov anm ISMS Vstupy v ystup 1.3 Vytvoření zakázky a plánu projektu v ystup 2. Definování oblasti působnosti ISMS a politiky ISMS v ystup 4.1 Ohodnocení rizik { metodologie, v ystup ohodnocen rizik v ystup 4.2 Výběr cílů opatření a opatření Nejvyss management mus rozhodnout o prijet zbytkov eho rizika a mus vydat povolen provozovat ISMS. Tato rozhodnut maj vych azet z ohodnocen rizik a z porovn an dopad u, kter e by mohly nastat po implementaci ISMS s dopady, ke ker ym by doslo bez implementace ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 39
4.3 Zsk an souhlasu s implementac a provozov anm ISMS V ystupy psemn e sd elen vedenm o schv alen implementace ISMS rzen prijet zbytkov ych rizik. prohl asen o aplikovatelnosti, Statement of Applicability (SoA) Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 40
F aze projektu implementace ISMS { v ystupy krok u 4. f aze Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 41
5. N avrh ISMS Finalizace pl anu implementace ISMS, n avrh bezpecnosti organizace na z aklad e vybran ych voleb zvl ad an rizik, pozadavk u na dokumentaci, n avrhu opatren integrujcch poskytov an bezpecnosti pro ICT, Kroky fyzick ych proces u a proces u organizace a specick ych pozadavk u na n avrh ISMS 5.1 Návrh informační bezpečnosti v organizaci 5.2 Návrh fyzické a ICT informační bezpečnosti 5.3 Návrh informační bezpečnosti specifické pro ISMS 5.4 Vytvoření finálního plánu projektu ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 42
Vstupy 5.1 N avrh informacn bezpecnosti v organizaci standard ISO/IEC 27002 a v ystupy predchozch etap pokryt administrativnch aspekt u informacn bezpecnosti, vcetn e odpov ednosti organizace za zvl ad an rizik. N avrh n aln struktury organizace z pohledu informacn bezpecnosti, v kazd em oddelen mus b yt nekdo zodpovedn y za informacn bezpecnost a osoba odpovedn a za meren ISMS N avrh prostred pro dokumentaci ISMS N avrh politiky informacn bezpecnosti Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 43
5.1 N avrh informacn bezpecnosti v organizaci V yvoj standard u (predpis u) a procedur informacn bezpecnosti Sestava aktivit koncc v politik ach, clech, procesech a postupech zvl ad an a zlepsov an informacn bezpecnosti na z aklad e potreb a rizik organizaci. V ystupy struktura organizace, role a odpov ednosti rol dokument shrnujc pozadavky na data ISMS z aznam u a dokumentaci opatren, denujc ulozist e a sablony pro pozadovan e z aznamy o ISMS dokument s politikou informacn bezpecnosti strukturovan y a podrobn y pl an implementace opatren t ykajcch se bezpecnosti organizace jako souc ast konecn eho pl anu projektu ISMS standardy (predpisy) v oblasti informacn bezpecnosti informac procedury pro pln en standard u informacn bezpecnosti Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 44
5.2 N avrh fyzick e a ICT informacn bezpecnosti Vstupy standard ISO/IEC 27002 a v ystupy predchozch etap pokryt aspekt u informacn bezpecnosti specicky spojen e s odpov ednost za operace snizujc rizika ICT fyzick a bezpecnost zahrnuje aspekty informacn bezpecnosti specicky souvisejc s odpov ednost za manipulaci s fyzick ym prostredm (budovy a jejich infrastruktura snizujc rizika). Mus se splnit pozadavky stanoven e organizac a technickou implementac opatren snizujcch rizika V ystupy strukturovan y a podrobn y pl an implementace t ykajcch se informacnch a komunikacnch technologi a fyzick e bezpecnosti jako souc ast pl anu projektu ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 45
5.3 N avrh informacn bezpecnosti specick e pro ISMS Vstupy v ystup 2.5 a 5.1 { politika ISMS v ystup 4.3 { prohl asen o aplikovatelnosti, Statement of Applicability (SoA) obsahujc cle opatren a vybran a opatren standard ISO/IEC 27004 { jak m erit ucinnost ISMS M a b yt vypracov an pl an zavazujc veden organizace k prezkumu fungov an ISMS a k pr ubezn emu zlepsov an ISMS jedn a se o akce typu monitoring, m eren, intern audit ISMS, vzd el av an a zvysov an pov edom, reakce na incidenty, prezkum vedenm organizace, vylepsov an ISMS vcetn e n apravn ych a preventivnch akc Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 46
5.3 N avrh informacn bezpecnosti specick e pro ISMS V ystupy vstupy potrebn e k prezkoum an ISMS managementem procedury pro prezkoum an ISMS managementem pokr yvajc audit a monitorov an a m eren Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 47
Vstupy 5.4 Vytvoren n alnho pl anu projektu ISMS v ystupy 2.4 Integrace všech oblastí a hranic do oblasti a hranic ISMS 2.5 Vývoj politiky ISMS a získání souhlasu od vedení 5.1 Návrh informační bezpečnosti v organizaci 5.2 Návrh fyzické a ICT informační bezpečnosti 5.3 Návrh informační bezpečnosti specifické pro ISMS pl an aktivit nezbytn ych k prov ad en vybran ych opatren. V ystupy n aln implementacn pl an projektu ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 48
F aze projektu implementace ISMS { v ystupy krok u 5. f aze Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 49
Integrace s existujcmi syst emy rzen bezpecnosti ISO 27001 pozaduje ISMS budovat sekvencn e implementovat opatren drve nez se dokonc ohodnocen rizik standard nepovoluje Co delat, kdyz v dobe budov an ISMS jiz nejak y syst em ochran funguje? nekter a opatren mohou b yt zbytecne siln a certikace by nem ela potvrdit validnost takov eho syst emu mus se akceptovat, ze proveden ohodnocen rizik m uze vynutit eliminaci n ekter ych dosud pouzvan ych zbytecn e siln ych opatren mus se prov est anal yza nepokryt ych mst (gap analyzis) mezi dosud pouzvan ymi opatrenmi a pozadovan ymi opatrenmi Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 50
Integrace s existujcmi syst emy rzen bezpecnosti Bottom-up anal yza nepokryt ych mst Vyhovuj dosud pouzvan a opatren pozadavk um Prohl asen o aplikovatelnosti? Top-down anal yza nepokryt ych mst Jsou opatren pozadovan a v Prohl asen o aplikovatelnosti jiz implementovan a? rychlejs postup, snadn eji se mohou odhalit a odstranit d ale jiz nepotrebn a opatren Kdy se stane dokument Prohl asen o aplikovatelnosti denitivn? az kdyz se ohodnotila se vsechna rizika, zv azila se a zdokumentovala aplikovatelnost vsech identikovan ych opatren Prohl asen se zacn a tvorit pred implementac prv eho opatren a je hotovo po dokoncen implementace poslednho opatren Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 51
Integrace s existujcmi syst emy rzen kvality Z adouc je integrace v co nejsirsm rozsahu Syst em dokumentace ISMS m a rozsrit syst em zaveden y pro rzen kvality (ISO 9001) a b yt nov ym, specick ym syst emem dokumentace pro ISMS pokud syst em rzen kvality nen dosud nen zaveden y, je nutn e se rdit pozadavky ISO 90001 Model syst emu dokumentace viz pozd eji tato predn aska Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 52
Rzen projektu Pred zah ajenm prvnho kroku implementace ISMS mus projekt mt { pridelen e zdroje a { ustanoven y adekv atn e strukturovan y, cinnosti schopn y projekcn t ym Velk a organizace: rdic v ybor + projekcn t ym mal a organizace: rdic v ybor = projekcn t ym Projekcn t ym { rd detailn kazdodenn pr ubeh implementace zkusen y manazer projektu { { prideluje pr aci, { oznamuje zkluzy s efovi rdicho v yboru nebo CEO { je autorizovan y implementovat pl an projektu ISMS schv alen y vedenm organizace clenov e z (casti) organizace pokryt e ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 53
Rzen projektu Clenov e projekcnho t ymu typicky s efov e odd elen rzen kvality, rzen proces u, personalista, v ychova, rzen IT, spr ava budov, manazer odpov edn y za informacn bezpecnost, zkusen y expert v oblasti informacn bezpecnosti, prodejn odbor, rzen provozu, administrativa,... v t ymu mus b yt lid e schopn formulovat pozadavky a z ajmy klcov ych c ast organizace { implementace ISMS si vynut zm eny ve remn kulture Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 54
Rzen projektu S ef projekcnho t ymu clenov e t ymu ho mus uzn avat, mus b yt presv edcen y o dosazitelnosti cl u v case odsouhlasen em vedenm mus b yt pragmatick y a schopn y identikovat resen organizacnch probl em u ovliv nujc implementaci ISMS ne nekdo z podp urn ych oddelen rmy { ti nepovazuj ISMS za d ulezit y nikdy nesm b yt podrzen y nejak e IT roli, ISMS nen IT projekt mus b yt uzn avan ym a zkusen ym manazerem v organizaci v mal e organizaci to m uze b yt i manazer soucasne odpovedn y za informacn bezpecnost, ve velk e organizace by se melo jednat o,,pr aci na pln y uvazek" Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 55
obsahuje harmonogram Pl an projektu obsahuje sch ema odpov ednost na vysok e urovni rzen rmy obsahuje denici kritick e cesty do dokoncen projektu pl an priprav projekcn t ym, prover ho CEO a odsouhlas veden rmy pl anu mus rozumet s efov e oddelen ne vce nez 2 strany A4, nikdo by jinak necetl pl an projektu mus poctat s odporem napr. IT odd elen pl an mus v harmonogramu poctat s tr enov anm na principy ISMS na vsech urovnch (od byznysman u pres IT experty az po bezpecnostn manazery) Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 56
Sledov an pr ub ehu projektu Pro veden rmy se mus pripravit dokument uv ad ejc odhad n aklad u na implementaci, posouzen a kvantikaci ocek avan ych prnos u, kdo je odpovedn y za co a v jak ych termnech Veden rmy m uze sledovat pr ub eh resen pomoc oponentur vypisovan ych v jist ych termnech Po dokoncen prohl asen o aplikovatelnosti, znaj se nutn a opatren Po dokoncen implementace uvodn sestavy procedur rescch urcen a opatren Po uveden ISMS do provozu a pred spust enm certikace Pravideln e kazd y rok provozov an ISMS Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 57
Role (externch) konzultant u Proc a kdy pouzt extern konzultanty maj zkusenosti a znalosti potrebn e pro usp esn e nasazeni ISMS st avajc zdroje rmy nestac na vypracov an ISMS projektu a rma potrebuje jejich okamzit e poslen Proc nepouzvat extern konzultanty drasticky odcerp avaj zdroje, hlavn e tm, ze si casto uctuj dopl nkov e pr ace, kter e prohlasuj za absolutne potrebn e v organizaci se nikdo nenauc budovat ISMS Kdy a kde mohou extern konzultanti re aln e pomoci zsk an n azoru na z avaznost rizik, kter ym je rma vystavena poradenskou cinnost v oblasti resen konkr etnch, typicky technick ych probl em u, v oblasti ohodnocov an vnitrnch a vn ejsch hrozeb, v oblasti volby adekv atnch opatren poradenstvm pri resen klcov ych krok u v projektu, pri oponentur ach kritick ych dokument u Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 58
Role manazera informacn bezpecnosti Dobr a praxe Ex. jeden manazer odpov edn y za vsechny aktivity souvisejc s informacn bezpecnost v organizaci, a to jak na strategick e, tak i na kazdodenn urovni M uze b yt ustanoven y jeste drve nez se ustanov rdic v ybor a t ym projektu ISMS M uze participovat na ustanoven rdicho v yboru a t ymu projektu ISMS Nemus nutn e b yt osobou ustanovenou vedenm jako expert (specialista) na bezpecnost informac ve velk e organizaci jsou d ulezit ejs manazersk e dovednosti nicm en e manazer informacn bezpecnosti mus b yt trvale skolen y na aktu aln urove n bezpecnosti informac Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 59
Role experta (specialisty) na bezpecnost informac informacn bezpecnost m a spoustu technick ych aspekt u a pri n avrhu a implementaci ISMS se mus resit spousta technick ych probl em u Pro resen informacn bezpecnosti mus b yt dostupn znalci detail u hrozeb pro informacn bezpecnost kongurov an relevantnch bezpecnost opatren zp usob u efektivnho monitorov an a ohodnocov an,...,...,... Resen { rol specialisty lze pov erit (a trvale proskolovat) nekoho (nekter e) z clen u IT t ymu (vets organizace) nebo manazera informacn bezpecnosti (mens organizace) Do projektu ISMS se mus zahrnout i dals specialist e personalist e, experti resc spr avu (podnikatelsk ych) rizik v organizaci, are alov bezpec aci, clenov e t ymu internho auditu,... Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 60
Komunikace, komunikace,..., pl an vnitrn komunikace Komunikujte zavcas a casto Kazd y program zmenov eho rzen (tm zav aden ISMS je) mus mt velmi dobre navrzen y a implementovan y pl an vnitrn komunikace zahrnujc Top down komunikaci o vizch informacn bezpecnosti { proc je ISMS nutn y { jak e jsou pr avn odpov ednosti organizace { jak se zm en podnikatelsk e procesy po zaveden programu ISMS { jak e budou prnosy zaveden ISMS pravideln e brngy na vsech urovnch o postupu resen z hlediska pln en cl u pl anu implementace ISMS jako integr aln souc ast brng u o norm alnch podnikatelsk ych procesech mechanismy zapojen,,lid z byznysu"do v yvoje klcov ych komponent ISMS (rdc v ybor, t ym projektu,... ) pokrac. Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 61
Komunikace, komunikace,..., pl an vnitrn komunikace mechanismy zajist'ujc pravidelnou a bezprostredn zp etnou vazbu od lid ve rme a ovlivnen ych tretch stran { jejich prm e zkusenosti z inici alnch implementac ISMS mohou efektivn e ovlivnit n aln syst em ISMS (f aze,,check") podporov an prm e komunikace, vnitrn komunikace via intranet publikov anm zpr av o postupu a konkr etnch v ysledcch, diskusn f ora, zavedenm e-mail adresy,,piste v ykonn emu rediteli",... Pro usp esnost ISMS nestac d at veden organizace spolehliv a relevantn csla, prnosy ISMS mus b yt vnman e vsemi zam estnanci, v rozsahu relevantnm jejich pozici Hlavn hnac silou ISMS je politika informacn bezpecnosti Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 62
Komunikace, komunikace,..., pl an vnitrn komunikace Hlavn hnac silou ISMS je politika informacn bezpecnosti strucn y dokument schv alen y vedenm organizace, spl nujc pozadavky standardu ISO 27002 Politika informacn bezpecnosti { b azov y zdroj informac reprezentace vize veden organizace o informacn bezpecnosti mus existovat d ukaz formou z apisu z jedn an veden organizace, potvrzujc, ze byla projedn ana s rdicm v yborem ISMS a odsouhlasena rdicm v yborem ISMS tot ez plat o vsech revizch politiky Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 63
Ohodnocov an rizik Ohodnocov an rizik je podstatou ISMS Porozum en ohodnocen rizik je klcem k usp esnosti projektu Veden organizace zav ad politiku informacn bezpecnosti protoze ex. v yznamn a rizika z pohledu dostupnosti, zachov an d uv ernosti a integrity informac organizace Veden organizace rozhoduje implementovat ISMS, aby se tato politika pln e a systematicky implementovala veden samo ned el a detailn ohodnocen rizik, pouze jasne vytycuje jak s riziky v projektu ISMS zach azet Mus se stanovit krit eria pro akceptov an rizika { velikost prijateln eho rizika Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 64
Ohodnocov an rizik Riziko reprezentuje moznost, ze jist a akce, cinnost, povede ke ztr at am (k nez adoucm v ysledk um) kombinace pravd epodobnosti ud alosti a jejich d usledk u Riziko v kontextu informacn bezpecnosti je jedno z mnoha rizik, kter ym mus organizace celit Rizka mohou b yt spekulativn, z am ern e vyuzvan a, mohou prpadn e i generovat zisk nespekultavn, jsou zdrojem pouze ztr at, skod na aktivech Nespekulativn rizika zvl adaj procesy rzen rizik Ohodnocov an rizik je souc ast proces u rzen rizik Pro rzen rizik v kontextu bezpecnosti informac lze pouzt obecnou univerz aln metodiku rzen rizik Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 65
Ohodnocov an rizik Pl an rzen rizik m a ctyri cle { elimace rizik { rizika, kter a nelze eliminovat, snzit na prijatelnou hodnotu a { bud'to s nimi zt a pouzvat opatren, kter a je udrz na prijateln ych hodnot ach { nebo je pren est na jin y subjekt { pojistenm pro skod am Rzenm rizik se rozum procesy resc ohodnocov an rizik { anal yza a vyhodnocen rizik zvl ad an rizik { v yb er a implementace opatren akceptace rizik { rozhodov an o prijatelnosti rizika Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 66
Ohodnocov an rizik Ohodnocov anm rizik se rozum systematick e zkoum an aktiv, hrozeb, zranitelnost a dopad u s clem ohodnotit pravd epodobnost v yskytu a v ysi skody uplatn enm jist e akce/cinnosti Ohodnocov an rizik je form aln proces je pl anovateln y, m a sv a vstupn data, jeho v ystupy jsou zaznamen avan e Kdo prov ad ohodnocov an rizik extern konzultant (extern rma) vlastn t ym { v yhodn ejs varianta, ohodnocov an se opakuje pri zm en ach podmnek Existuj softwarov e n astroje pro ohodnocov an rizik Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 67
Volba opatren Opatren prostredek pro ovl ad an rizika politka, procedura, n avod, rdic/organizacn struktura, n astroj povaha { administrativn, technick a, logick a, rdic, pr avn,... synonyma: protiopatren, bezpecnostn (proti)opatren,... Opatren v kontextu informacn bezpecnosti m uze mt kombinovanou povahu mix procedury, technologie, lidsk e cinnosti Mozn a klasikace opatren z pohledu rizik odrazujc { snizuj pravd epodobnost z am ern eho utoku preventivn { zabra nuj usp esnosti utoku nebo skodliv emu dopadu opravn a { snizuj efekt utoku detektivn { odhaluj utok a spoust prventivn nebo opravn e opatren Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 68
Volba opatren Implementace opatren mus b yt n akladov e efektivn Volbu mozn ych opatren lze prov est po ohodnocen rizik s clov ymi krit erii n aklady na porzen a provoz opatren neprev ys identikovan e dopady hrozeb klasikace rizik odpovd a pl anovan ym investicm porad implementac opatren je d ano prioritami prslusn ych rizik Druh y nejd ulezit ejs dokument ISMS po politice bezp. informac je Prohl asen o aplikovatelnosti seznam vsech aplikovateln ych opatren a politikami a procedurami, kter e je aplikuj ISO 27001 Annex A uv ad takov y (minim aln) seznam nepouzit nekter eho z nich by melo b yt zd uvodnen e Dalsm zdrojem pro volbu je ISO 27002 { Code of Best Practice... Jan Staudek, FI MU Brno PV017 { Projekt implementace ISMS, dodatek 69