Bezpečnostní normy a standardy KS - 6



Podobné dokumenty
MFF UK Praha, 29. duben 2008

BEZPEČNOST IS. Ukončení předmětu: Předmět je zakončen zkouškou sestávající z písemné a doplňkové ústní části.

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Šifrová ochrana informací věk počítačů PS5-2

Šifrová ochrana informací věk počítačů PS5-2

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

Zdravotnická informatika z pohledu technických norem ISO a EN. RNDr. Vratislav Datel, CSc. Praha 26. dubna 2011

Certifikační prováděcí směrnice

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

ČESKÁ TECHNICKÁ NORMA

ČESKÁ TECHNICKÁ NORMA

ČESKÁ TECHNICKÁ NORMA

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Směry rozvoje v oblasti ochrany informací KS - 7

Úvod - Podniková informační bezpečnost PS1-1

Šifrová ochrana informací věk počítačů PS5-1

Informatika / bezpečnost

Technická komise ISO/JTC1/SC 27 Technická normalizační komise ÚNMZ TNK 20

Management informační bezpečnosti. V Brně dne 26. září 2013

METODIKA PROVÁDĚNÍ AUDITU COBIT

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Úvod - Podniková informační bezpečnost PS1-2

ČESKÁ TECHNICKÁ NORMA

TECHNICKÉ NORMY KDE A JAK VZNIKAJÍ

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

ČESKÁ TECHNICKÁ NORMA

ČESKÁ TECHNICKÁ NORMA

ČESKÁ TECHNICKÁ NORMA

TVORBA BEZPEČNOSTNÍ POLITIKY ORGANIZACE A HAVARIJNÍHO PLÁNU

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Zavádění PKI infrastruktury v organizaci - procesní aspekty. Vlastimil Červený, Kateřina Minaříková Deloitte Advisory, s.r.o.

Metodický list č.1. Vladimír Smejkal: Grada, 1999, ISBN (a další vydání)

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Šifrová ochrana informací historie KS4

BEZPEČNOST INFORMACÍ

Health informatics Health cards Numbering system and registration procedure for issuer identifiers

4. Standardy bezpečnosti Řízení kvality (audit) IS BIVŠ 2016

Postupy pro zavedení a řízení bezpečnosti informací

Co je to COBIT? metodika

ČESKÁ TECHNICKÁ NORMA

Standardy a definice pojmů bezpečnosti informací

PA159 - Bezpečnostní aspekty

Management informační bezpečnosti

Normy ISO/IEC NISS. V Brně dne 7. listopadu 2013

ČESKÁ TECHNICKÁ NORMA

Co je a co není implementace ISMS dle ISO a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o.

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok

Právní a normativní rámec provozování drážních prostředků

TECHNICKÁ NORMALIZACE SYSTÉM TECHNICKÉ NORMALIZACE

Normy a standardy ISMS, legislativa v ČR

212/2012 Sb. VYHLÁŠKA

ČESKÁ TECHNICKÁ NORMA

ČESKÁ TECHNICKÁ NORMA

Bezpečnost IS. Základní bezpečnostní cíle

Řízení informační bezpečnosti a veřejná správa

Information technology - Keyboard layouts for text and office systems - Part 6: Function Section

Překlad a interpretace pro české prostředí

Osnovy prezenčního studia předmětu RiJ - ŘÍZENÍ JAKOSTI

V Brně dne 10. a

ČESKÁ TECHNICKÁ NORMA

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Pelantová Věra Technická univerzita v Liberci. Předmět RJS. TU v Liberci

BEZPEČNOSTI INFORMACÍ

6. Bezpečnost IS. Osnova. Výklad

Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb.

Jan Hřídel Regional Sales Manager - Public Administration

Normy ISO/IEC 27xxx Přehled norem

POPIS STANDARDU. Norma název (cz):dopravní a cestovní informace (TTI) TTI zprávy pomocí celulárních sítí Část 6: Vnější služby (ISO/DTR :2000)

Cobit 5: Struktura dokumentů

Nástroje IT manažera

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

Politika bezpečnosti informací

SYSTÉM ŘÍZENÍ JAKOSTI VE VEŘEJNÉ SPRÁVĚ

Systém řízení informační bezpečnosti (ISMS)

Normy ISO/IEC 27xxx Přehled norem

ČESKÁ TECHNICKÁ NORMA

Šifrová ochrana informací historie PS4

496/2004 Sb. VYHLÁŠKA Ministerstva informatiky ze dne 29. července 2004 o elektronických podatelnách

Z K B V P R O S T Ř E D Í

srpen 2008 Ing. Jan Káda

Bezpečnostní politika společnosti synlab czech s.r.o.

Acoustics - Declared noise emission values of computer and business equipment

IT Governance. Libor TůmaT. konzultant, AHASWARE. itsmf

Normy a systémový přístup k zavádění, provozování a evaluaci ICT systémů pro výuku, vzdělávání a školení. Josef Myslín katedra informatiky VŠMIEP

ČESKÁ TECHNICKÁ NORMA

ISO/IEC/IEEE zavedena v ČSN ISO/IEC/IEEE ( ) Softwarové a systémové inženýrství Testování softwaru Část 1: Koncepty a definice

Integrovaný systém řízení

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Příloha Vyhlášky č.9/2011

Adresa: Kontaktní osoba: Ing. Václav Krumphanzl Nábř. L. Svobody 12/ Telefon: Praha 1 Fax: vaclav.krumphanzl@mdcr.

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi října 2011 r

Podmínky úspěšného absolvování OM

Implementace systému ISMS

MPO - Ministerstvo průmyslu a obchodu České Republiky -

Co nového v akreditaci?...

Management bezpečnosti informací dle ISO 27001:2006. Zkušenosti se zaváděním ve společnosti SYSCOM SOFTWARE s.r.o.

Představení normy ČSN ISO/IEC Management služeb

Transkript:

VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní normy a standardy KS - 6

VŠFS; Aplikovaná informatika; SW systémy 2005/2006 2 Osnova historický vývoj bezpečnostních norem bezpečnostní normy zabezpečených informačních systémů; standardizace šifrovacích algoritmů; současné trendy ve standardizaci bezpečnostních procesů norma ISO 17799; vazby mezi bezpečnostními normami.

VŠFS; Aplikovaná informatika; SW systémy 2005/2006 3 Literatura Přibyl J, Kodl J.: Ochrana dat v informatice, ČVUT, 1998 Kolektiv: Informační bezpečnost, Tate International, 2001 Doporučená Doseděl T.: Počítačová bezpečnost a ochrana dat, Computer Press, 2004

VŠFS; Aplikovaná informatika; SW systémy 2005/2006 4 Vývoj bezpečnostních norem požadavky na vypracování norem v oblasti ochrany dat v USA projekt ministerstva obrany (1977) US národní úřad pro normalizaci (NBS, nyní NIST-National Institute of Standards and Technology) zodpovědnost za vývoj federálních norem def. podmínky pro používání výp. techniky Serie norem FIPS PUB (Federal Information Processing Standards Publication ) návrh norem pro počítačovou kryptografii FIPS PUB 46 norma DES 1981 norma ANSI rozvoj norem pro stavbu a hodnocení zabezpečení počítačových systémů 1983 Kritéria TCSEC (Trusted Computer Security Evaluation Criteria) Oranžová kniha; postupně Duhová serie Soubor cca 30 tématických kritérií Aktivity v oblasti bezpečnosti v ISO (International Organisation for Standardisation) zřízení nového výboru Informační technologie a následně i podvýboru bezpečnostní technologie rozvržení práce do pracovních skupin WG norem s označením ISO0IEC JTC1 SC 27 (1989) Přejímání ISO norem do norem ČSN

VŠFS; Aplikovaná informatika; SW systémy 2005/2006 5 Současný stav bezpečnostních norem Základní směry bezpečnostní technické předpisy - oblast informační technologie, bezpečnostní požadavky, postupy, apod. příklady: ČSN ISO 8392 módy činnosti pro 64-bitový algoritmus blokové šifry; FIPS 140-2 - Security Requirements for Cryptographic Modules; PKCS#1 RSA Encryption Standard; normy pro hodnocení zabezpečených systémů TCSEC Trusted Computer Security Evaluation Criteria - federální norma USA ITSEC - Information Technology Security Evaluation Criteria evropská norma; BC 7799 British Standard Code of Practice for Information Security management. metodologie hodnocení COBIT Control Objectives for Information and related Technology

VŠFS; Aplikovaná informatika; SW systémy 2005/2006 6 Současný stav bezpečnostních norem Hlavní organizace řešící problematiku norem pro počítačovou kryptografii a ochranu informací v systémech mezinárodní ISO, IEC (International Electrotechnical Commission) společné normy ISO/IEC JTC1 (zejména SC 27) CCITT (Mezinárodní poradní výbor pro telefonii a telegrafii) normy řady X. --- (X.509) mezinárodní oborové ECMA (sdružení evropských výrobců počítačů) národní ANSI americké federální normy ČSN mezinárodní de facto standardy RFC (Request for Comment) firemní PKCS (Public-Key Cryptography Standards) - RSA

VŠFS; Aplikovaná informatika; SW systémy 2005/2006 7 FIPS PUB 140-2; Základní bezpečnostní požadavky pro kryptografické moduly Dokument je rozdělen do 4 základních úrovní řešení bezpečnosti. Tyto úrovně určují parametry návrhu a požadavky na implementaci modulů do systémů. Návrh se vztahuje k následujícím oblastem: Specifikace kryptografického modulu Rozhraní modulů Funkce, poskytované služby, požadavky na autentizaci Matematický model modulu Fyzická bezpečnost Bezpečnostní prvky programového vybavení Návrh systému klíčů Elekromagnetická kompatibilita Testovací subsystém Ověření shody s bezpečnostními požadavky Obnovení po chybách Norma obsahuje i procedury testování pro akreditované laboratoře

VŠFS; Aplikovaná informatika; SW systémy 2005/2006 8 Normy bezpečnosti informačních systémů Základní normy ČSN 13335; 1-4 Směrnice pro řízení bezpečnosti IT pojetí a modely bezpečnosti IT řízení a plánování bezpečnosti IT techniky pro řízení bezpečnosti IT výběr ochranných opatření Hodnotící normy ČSN 15408 - Kritéria pro hodnocení bezpečnosti IT Úvod a všeobecný model bezpečnostní funkční požadavky požadavky na zaručitelnost bezpečnosti

VŠFS; Aplikovaná informatika; SW systémy 2005/2006 9 BS 7799 a normy následující Příručka pro správu bezpečnosti informací BS 7799 (Code of Practice for Information security management) = referenční dokument pro uživatele, kteří jsou ve svých institucích zodpovědni za návrh, implementci a dodržování bezpečnosti informací. Dokument poskytuje úplný soubor bezpečnostních opatření, metod a postupů vycházejících ze zkušeností v oblasti zabezpečení informací Na rozdíl od předchozích norem preferujících teoretické a systémové aspekty při zabezpečení informačních technologií je norma BS 7799 zaměřena v maximální možné míře na praktický charakter. Byl přijat jako mezinárodní norma ISO/IEC 17799:2005 (první část normy BS 7799-1) Připravuje se ISO/IEC 27001:2005 (druhá část normy BS 7799-2) Normy jsou přebírány jako normy ČSN

BS 7799 a normy následující První část obsahuje strukturovaná doporučení rozdělená do kapitol, která umožňují stanovit příslušná bezpečnostní opatření s tím, že: ž stanoví cíle stanoví odpovídající zodpovědnosti Záměr se odráží i ve vlastní struktuře dokumentu, který je rozdělen do kapitol: Bezpečnostní politika Správa bezpečnosti informací v organizaci Klasifikace a řízení aktiv, ve vazbě na udržení jejich odpovídající bezpečnosti Personální zabezpečení Fyzická bezpečnost a bezpečnost informačních technologií Správa výpočetních a komunikačních systémů Správa přístupových práv do systémů Vývoj a provozování systémů, ve vztahu k řešení otázek zabezpečení informací Zabezpečení kontinuity obchodních aktivit organizace Soulad s právními předpisy VŠFS; Aplikovaná informatika; SW systémy 2005/2006 10

VŠFS; Aplikovaná informatika; SW systémy 2005/2006 11 BS 7799 a normy následující Druhá část obsahuje návod jak vybudovat systém řízení bezpečnosti informací (ISMS) Norma klade hlavní důraz na zavedení procesů spojených s řízením rizik, k tomu využívá doporučení z části 1. Struktura dokumentu, který je rozdělen do oblastí: Definice rozsahu ISMS Definice politiky ISMS Analýza rizik Řízení rizik Výběr opatření Správa o aplikovatelnosti opatření

VŠFS; Aplikovaná informatika; SW systémy 2005/2006 12 BS 7799 a normy následující Novelizace přístupu ke zpracování aktualizovaných norem vychází z provázanosti jednotlivých (doposud významně oddělených norem). Vzniká soustava norem Specifikace ISMS ISO/IEC 27001 Navržená opatření pro správu ISMS ISO/IEC 17799:2005 (novela ISO 27002) Řízení rizik ISO/IEC 13335 Návazné oborové normy bezpečnost síťového prostředí ISO/IEC 18028

VŠFS; Aplikovaná informatika; SW systémy 2005/2006 13 COBIT Základní metodika pro audit a řízení IT Stanovení strategie budování IT využití procesního přístupu Pět základních projektů: 1. Postupy kontroly IT 2. Hodnocení úrovně vyzrálosti prostředí (maturity benchmarking) 3. Příručky pro implemntaci 4. Online přístup k metodologii COBIT 5. Základní varianta COBIT 6. Případové studie

VŠFS; Aplikovaná informatika; SW systémy 2005/2006 14 COBIT Struktura metodologie 1. 4 domény 1. plánování, 2. nasazení a osvojení, 3. provoz a dodávky, 4. monitorování 2. Rozdělení každé domény na procesy (34 procesů) 3. Rozdělení procesů na postupy, záměry a cíle -------------------------------------------------- Vypracovány metody, které se vztahují výhradně k bezpečnostním aspektům

VŠFS; Aplikovaná informatika; SW systémy 2005/2006 15 Harmonizace norem Dochází ke konvergenci jednotlivých norem zejména z pohledů cílů a záměrů. Současný úkol = harmonizovat přístupy vedoucí k dosažení jednotlivých cílů => projekt Harmonizace informační bezpečnosti unifikace definic unifikace hodnocení unifikace aktivit zejména spojených s: ISO 17799, ISO 13335, ISO 15408 COBIT NIST řada 800 -------------------------------------------------------- projekt řešený v rámci ISACA (Information systém Audit and Control Association)

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář