Informační bezpečnost. Dana Pochmanová, Boris Šimák

Podobné dokumenty
V Brně dne a

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

Management informační bezpečnosti

CYBER SECURITY. Ochrana zdrojů, dat a služeb.

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

10. setkání interních auditorů v oblasti průmyslu

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

2. setkání interních auditorů ze zdravotních pojišťoven

Standardy a definice pojmů bezpečnosti informací

CHECK POINT INFINITY END TO END BEZPEČNOST JAKO ODPOVĚĎ NA GDPR

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Dopady GDPR a jejich vazby

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

srpen 2008 Ing. Jan Káda

Systém řízení informační bezpečnosti (ISMS)

Regulace a normy v IT IT Governance Sociotechnický útok. michal.sláma@opava.cz

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi října 2011 r

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Úvod do problematiky informační bezpečnosti. Ing. Jan Bareš, CISA

Zákon o kybernetické bezpečnosti

GDPR SNADNO.info. Ing. Lukáš Přibyl, předseda NSMC Network Security Monitoring Cluster

Modelování hrozeb. Hana Vystavělová AEC, spol. s r.o.

Řízení informační bezpečnosti a veřejná správa

Co je to COBIT? metodika

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok

Bezpečnostní politika a dokumentace

Příloha č. 2 ke smlouvě. Rozsah a podmínky provozní podpory

V Brně dne 10. a

PRÁVNÍ ASPEKTY CLOUD COMPUTINGU. Nová technologie nová regulace? Business & Information Forum 2011

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

METODIKY ŘÍZENÍ ICT: ITIL, COBIT, IT GOVERNANCE

Platná od Bezpečnostní politika. Deklarace

O2 a jeho komplexní řešení pro nařízení GDPR

Není cloud jako cloud, rozhodujte se podle bezpečnosti

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

Efektivní řízení rizik ISMS. Luděk Novák, Petr Svojanovský ANECT a.s.

Příprava IS na příchod GDPR se zaměřením na ISP. Jan Zahradníček AK Velíšek & Podpěra

METODIKA PROVÁDĚNÍ AUDITU COBIT

Vzorové analýzy rizik zpracování v cloudu. Zdeněk Jiříček National Technology Officer Microsoft ČR

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Příprava IS na příchod GDPR změny je potřeba nastartovat včas. Jan Zahradníček AK Velíšek & Podpěra

1.1. Správa a provozní podpora APV ROS, HW ROS a základního SW

Řešení ochrany databázových dat

Aplikovaná informatika

Nadpis presentace. Řízení IT v malých. útvarech aneb Light verze IT governance

Obecné nařízení o ochraně osobních údajů

Konvergovaná bezpečnost v infrastrukturních systémech

BEZ LIDÍ TO NEPŮJDE. Ivan Svoboda, ANECT & SOCA. Pro zveřejnění

RENOMIA POJIŠTĚNÍ KYBERNETICKÝCH RIZIK

Jak bojovat s GDPR? Martin 9. března 2017

Implementace systému ISMS

ČESKÁ TECHNICKÁ NORMA

Mobile Device Management Mobilita v bankovním prostředí. Jan Andraščík, Petra Fritzová,

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

Řízení kybernetické a informační bezpečnosti

RENOMIA POJIŠTĚNÍ KYBERNETICKÝCH RIZIK

Současné problémy bezpečnosti ve firmách

ISMS. Uživatel jako zdroj rizik. V Brně dne 5. a 12. prosince 2013

Monitorování datových sítí: Dnes

ANECT & SOCA ANECT Security Day

Předmluva: Vítejte v ITIL! Úvod 15 IT Infrastructure Library O této knize ITIL (IT Infrastructure Library ) 1.3. Služby a správa služeb

ANECT, SOCA a bezpečnost aplikací

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

Jak efektivně ochránit Informix?

Implementace řízení strategických a kybernetických rizik v Pražská teplárenské s podporou SW nástroje Risk management tool

Monitorování a audit databází v reálném čase. Ing. Jan Musil IBM Česká republika

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

Distribuované pracovní týmy. Mobilní styl práce. Využití infrastruktury. Struktura IT nákladů

Metriky v informatice

Procesní řízení a normy ISO, ITIL, COBIT, HIPAA, SOX

Příloha č. 6 ZD - Požadavky na členy realizačního týmu

Jak na jakost v podnikovém IT Evropský týden kvality Praha

KIV/SI. Přednáška č.2. Jan Valdman, Ph.D.

Management informační bezpečnosti. V Brně dne 26. září 2013

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Komentáře CISO týkající se ochrany dat

Řízení rizik. RNDr. Igor Čermák, CSc.

3.přednáška. Informační bezpečnost: Řízení IS/IT

BEZ LIDÍ TO NEPŮJDE. Ivan Svoboda, ANECT & SOCA. Pro zveřejnění

1. KURZ č. 1 - QMS - Školení a výklad normy ČSN EN ISO 9001: KURZ č. 2 - QMS - Školení interních auditorů QMS a metrologa

PREZENTACE ŘEŠENÍ CSX

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

Jan Hřídel Regional Sales Manager - Public Administration

GDPR compliance v Cloudu. Jiří Černý CELA

Cobit 5: Struktura dokumentů

Security of Things. 6. listopadu Marian Bartl

obnova ZIS po bezpečnostn nostním m incidentu

Jakým otázkám dnes čelí CIO? Otakar Školoud Chief Information Officer, ALTRON GROUP

Normy a standardy ISMS, legislativa v ČR

Security. v českých firmách

1.05 Informační systémy a technologie

Bezpečnost na internetu. přednáška

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.

Transkript:

Informační bezpečnost Dana Pochmanová, Boris Šimák 10.5. 2017

Agenda Bezpečnost informací IT rizika Klíčové role IT bezpečnosti v organizaci Bezpečný vývoj IS Normy a standardy v oblasti IT bezpečnosti Právo a IT Bezpečnostní trendy IT audit

Bezpečnost informací 1 Informační bezpečnost jsou postupy zabraňující neoprávněnému přístupu, použití, odhalení, narušení, úpravě, kontrole, záznamu nebo zničení dat a informací. Hlavní cíle informační bezpečnosti jsou udržování důvěrnosti, celistvosti a dostupnosti IT systémů a obchodních dat. Základní pojmy: Aktivum veškerý hmotný i nehmotný majetek (vše, co má hodnotu pro majitele) Hrozba událost ohrožující bezpečnost/zneužívající zranitelnost aktiv Riziko výslednice působení hrozby a zranitelnosti na aktivum Zranitelnost slabé místo aktiva Dopad výsledek nežádoucího incidentu

Bezpečnost informací 2 Ochrana informací na základě zajištění základních atributů: Důvěrnost (Confidentiality) Ochrana informací před neoprávněnými uživateli Celistvost (Integrity) Ochrana informací před neoprávněnými zásahy/změnami Data Dostupnost (Availability) Zajištění dostupnosti informací oprávněným uživatelům v době potřeby

IT rizika IT riziko je jakákoliv hrozba, která souvisí s informačními technologiemi Dle ISO 27005:2008 Information security risk is associated with the potential that threats will exploit vulnerabilities of an information asset or group of information assets and thereby cause harm to an organization.

IT rizika - kategorizace Podle úmyslu: náhodné x úmyslné hrozby Podle zdroje: vnitřní x vnější hrozby Podle dopadu na systém: aktivní hrozby (změna stavu systému v důsledku narušení) x pasivní hrozby (únik informací emaily, sociální sítě, veřejná úložiště) Podle dotčeného aktiva: prostory, lidé, hw, sw, síť, média, data

Dopad na business Ztráta výnosů Snížení efektivity (produkce) Poškození reputace Zvýšení nákladů Právní spory Ohrožení cash-flow

Klíčové role IT bezpečnosti v organizaci CIO Chief information officer Ředitel IT oddělení CDO Chief data officer Ředitel pro správu dat (nově s GDPR) CRO Chief risk officer Ředitel řízení rizik CISO Chief information security officer Ředitel bezpečnosti nezávislý na IT oddělení

Bezpečný vývoj IS (SDLC) Incident management Požadavky na IS Návrh architektury Požadavky na IS jasné definování nového IS/funkcionalit Návrh architektury IS včetně operačního systému, databáze a napojení na další IS Vývoj systému (ve vývojovém nebo testovacím prostředí) Testování Unit testy a UAT (zkušební běh v testovacím prostředí) Nasazení do produkčního prostředí Testování Vývoj Součástí je schválení nasazení odpovědnou osobou Nasazení do produkčního prostředí Babysitting Incident management řešení případně vzniklých incidentů a jejich oprava

Bezpečný vývoj IS Veškeré kroky musí být detailně dokumentovány Ve smlouvě s dodavatelem musí být jasně definováno, co je součástí dodávky a kdo je vlastníkem kódu Oddělení jednotlivých rolí vývoj, testování, nasazení do produkčního prostředí První nastavení by mělo být v souladu s firemními předpisy

Normy a standardy ITIL Information Technology Infrastructure Library Praktické postupy jak provozovat IT, sepsáno lidmi z praxe COBIT Control Objectives for Information and related Technology Soubor praktik pro dosažení strategických cílů ISO 2700x ISO/IEC 27002 ISMS ISO/IEC 27005 Information security risk management ISO/IEC 27014 Information security governance

Právo a IT Zákon č. 101/2000 Sb., o ochraně osobních údajů V květnu 2018 bude nahrazen nařízením EU GDPR - General Data Protection Regulation Zákon 181/2014 Sb., o kybernetické bezpečnosti Vyhláška ČNB č. 163/2014 Sb. o pravidlech obezřetného podnikání bank, spořitelních a úvěrních družstev a obchodníků s cennými papíry upravuje používání Cloudu v bankovním sektoru Zákon č. 563/1991 Sb., o účetnictví. Zákon č. 412/2005 Sb., o ochraně utajovaných informací a bezpečnostní způsobilosti Zákon č. 365/2000 Sb., o informačních systémech veřejné správy Zákon č. 154/2000 Sb., o šlechtění, plemenitbě a evidenci hospodářských zvířat a o změně některých souvisejících zákonů (plemenářský zákon)

Bezpečnostní trendy

Nové způsoby narušení bezpečnosti Social engineering hacking Vishing https://www.youtube.com/watch?v=lc7scxvkqoo&t=5s Phishing emails Další způsoby útoků Zneužití účtu Webové útoky Útoky proti klientské straně

IoT 36% Have a security strategy for the Internet of Things

Použité průzkumy http://www.pwc.com/gsiss http://www.pwc.com/gx/en/issues/cyber-security/information-security-survey/newsafeguards.html http://www.pwc.com/gx/en/issues/cyber-security/information-security-survey/newpossibilities-threat-management.html

IT audit

IT rizika Základem každého IT auditu je analýza rizik Rizika je nutná zohlednit na základě: Velikosti organizace Sektoru Zpracování dat třetích stran Využívání prostředků 3 stran

Řízení přístupu uživatelů Access to program and data Schválení a přidělení oprávnění v aplikaci/databázi novému zaměstnanci Změny oprávnění při změně pracovní pozice Odebrání oprávnění odchozímu zaměstnanci Periodické kontroly oprávnění testované aplikace/databáze Monitoring privilegovaných účtů Heslová politika

Změnové řízení a vývoj systémů Program changes & program development Zadání, vývoje, schválení, testování a implementace změny Workflow pro případné hotfixy, či projektové změny, či jakékoli další typy změn Monitoring nad změnovým řízením, SOD vývoj vs nasazení/přístup na produkci Migrace dat

Zajištění provozu Computer operations Incidenty jsou indikovány, zaevidovány např. v ticketovacím toolu, řešeny včas (dle SLA, směrnice atp.) Backup schedule zálohování dat, monitorování backupů, vyhodnocení neprovedených backupů Recovery testing formální výstup DRP/BCM existuje, je testováno a z testování existuje formální výstup Plánované úlohy monitorování jobů, jak probíhají změny do jobů, vyhodnocení neprovedených jobů Fyzická bezpečnost ochranné prvky klimatizace, environmentální ochrana, omezení vstupů malému počtu lidí, kamerový systém

IT bezpečnost vs. IT audit Bezpečnost informací Důvěrnost -> Řízení přístupu uživatelů (Access to program and data) Aplikační/databázová/operační úroveň nové a ukončené účty, privilegované přístupy, pravidelná kontrola uživatelů, monitorování uživatelských přístupů Celistvost -> Změnové řízení (Program changes), Řízení přístupu uživatelů - Heslová politika Aplikační úroveň nové změny (standardní, projektové, konfigurační), oddělení prostředí (Vývoj vs. Produkce), oddělení funkcí (Vývoj vs. Nasazení) Databázová a Operační úroveň podporované verze, patchování Dostupnost -> Zajištění provozu (Computer operations) Zálohování a obnova ze zálohy, správa incidentů, DRP/BCM, Plánované úlohy, Interfacy

Q&A

Děkujeme za pozornost Dana Pochmanová +420 735 701 529 dana.pochmanova@cz.pwc.com Boris Šimák +420 731 691 986 boris.simak@cz.pwc.com

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář