MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Podobné dokumenty
MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

ČESKÁ TECHNICKÁ NORMA

ČESKÁ TECHNICKÁ NORMA

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok

ČESKÁ TECHNICKÁ NORMA

ČESKÁ TECHNICKÁ NORMA

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

Postupy pro zavedení a řízení bezpečnosti informací

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

MEZINÁRODNÍ NORMY A DIGITÁLNÍ KONTINUITA. Tomáš Bezouška Praha,

Vzdělávání pro bezpečnostní systém státu

Překlad a interpretace pro české prostředí

Normy a standardy ISMS, legislativa v ČR

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

Státní pokladna. Centrum sdílených služeb

Co je a co není implementace ISMS dle ISO a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o.

ISO 9001 : Certifikační praxe po velké revizi

Pelantová Věra Technická univerzita v Liberci. Předmět RJS. TU v Liberci

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi října 2011 r

ISO 9001:2015 CERTIFIKACE ISO 9001:2015

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

BEZPEČNOSTNÍ ROLE. a jejich začlenění v organizaci

ČESKÁ TECHNICKÁ NORMA

METODICKÝ POKYN. Pro žadatele o dotaci na zavedení systému hospodaření s energií v podobě energetického managementu z programu EFEKT

Představení normy ČSN ISO/IEC Management služeb

WS PŘÍKLADY DOBRÉ PRAXE

Management informační bezpečnosti

MFF UK Praha, 29. duben 2008

KOMUNIKAČNÍ A INFORMAČNÍ SYSTÉMY A JEJICH BEZPEČNOST

TVORBA BEZPEČNOSTNÍ POLITIKY ORGANIZACE A HAVARIJNÍHO PLÁNU

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

International for Standardization for Standardization. International Organization.

POŽADAVKY NORMY ČSN EN ISO 9001:2009 idt. ISO 9001:2008

Řízení kybernetické a informační bezpečnosti

Celní správa ČR ICT. Ing. Michael Lojda ředitel odboru informatiky GŘC

Management informační bezpečnosti. V Brně dne 26. září 2013

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Návrh softwarových systémů - softwarové metriky

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

BEZPEČNOSTI INFORMACÍ

Řízení rizik. RNDr. Igor Čermák, CSc.

SMĚRNICE DĚKANA Č. 4/2013

5 ZÁKLADNÍ PRINCIPY SYSTÉMOVÉHO ŘÍZENÍ BOZP

MANAGEMENT Systém managementu kvality

ČESKÁ TECHNICKÁ NORMA

ČSN EN ISO (únor 2012)

1. KURZ č. 1 - QMS - Školení a výklad normy ČSN EN ISO 9001: KURZ č. 2 - QMS - Školení interních auditorů QMS a metrologa

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

AUDITOR KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.5/2007

Systém řízení bezpečnosti informací v praxi

Gradua-CEGOS, s.r.o. AUDITOR BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI. CS systémy managementu organizací verze 2, 8.2, b) 1.

POZNÁMKA Zvláštní schválení požadavků nebo dokumentů souvisejících s bezpečností smí být vyžadováno zákazníkem nebo interními procesy organizace.

Systémy managementu podniku

Jaro je již za dveřmi a my jsme si pro Vás připravili aktuální informace v Quality Austria TIMES.

ISO/IEC certifikace v ČR. Miroslav Sedláček

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

Zákonné povinosti v oblasti energetické účinnosti. Ing. Simon Palupčík, MBA

Praktické zkušenosti s certifikací na ISO/IEC 20000

Information technology Security techniques Information security management systems Overview and vocabulary

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

ŽÁDOST O CERTIFIKACI č. zákazníka:

Politika bezpečnosti informací

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

Návod k požadavkům ISO 9001:2015 na dokumentované informace

Cesta k zavedení managementu společenské odpovědnosti, aneb jak na to praxe Krajského úřadu Jihomoravského kraje

Zásady managementu incidentů

Metody řízení kvality: ISO 9001

MANAŽER SM BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.10/2007

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Energetická účinnost v chemickém průmyslu

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

Příklad I.vrstvy integrované dokumentace

Bezpečnostní politika společnosti synlab czech s.r.o.

Integrovaný systém řízení

Výukový materiál zpracovaný v rámci projektu Výuka moderně

KATALOG SEMINÁŘŮ SYSTÉMY KVALITY PRO ROK 2016

Řízení kvality a bezpečnosti potravin

Vážení zákazníci, odběratelé, obchodní přátelé, občané, akcionáři, kolegové

Ochrana osobních údajů a kybernetická bezpečnost v roce Ing. Michal Hager

Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115

NOVÉ NORMY ISO 2016 INTEGROVANÝ SYSTÉM MANAGEMENTU. Kontakt:

Standardy a definice pojmů bezpečnosti informací

Model systému managementu pro řízení ÚSC. Ing. Štěpán Kmoníček, Ph.D. odbor strategického rozvoje a koordinace veřejné správy

Systém řízení informační bezpečnosti Information security management systém

Zkušenosti z auditů CSR. III. Ročník konference Společenská odpovědnost ve všech oblastech lidské činnosti

Food safety management systems Guidance on the application of ISO 22000

Základní principy SJ a jejich zavádění do praxe; normy ISO 9000 a ISO ISO normy

Bezpečnostní normy a standardy KS - 6

DOKUMENT IAF IAF MD 11:2013. Závazný dokument IAF pro aplikaci ISO/IEC pro audity integrovaných systémů managementu

DOTAZNÍK příloha k žádosti

Implementace řízení strategických a kybernetických rizik v Pražská teplárenské s podporou SW nástroje Risk management tool

ISO Facility management nová fáze vnímání facility managementu ve společnostech. Ing. Ondřej Štrup, IFMA Fellow

Spisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.)

Řízení vztahů se zákazníky

VZDĚLÁVÁNÍ V OBLASTI KYBERNETICKÉ BEZPEČNOSTI NA UNIVERZITĚ OBRANY I. ČÁST. pplk. Ing. Petr HRŮZA, Ph.D. petr.hruza@unob.cz Univerzita obrany Brno

Dokumentace pro plánování a realizaci managementu jakosti dle požadavků

Transkript:

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI TÉMA Č. 4 ISO NORMY RODINY 27K pplk. Ing. Petr HRŮZA, Ph.D. Univerzita obrany, Fakulta ekonomiky a managementu Katedra vojenského managementu a taktiky E-mail.: petr.hruza@unob.cz Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/15.0070)

OBSAH Co jsou normy. Řada ISO/IEC 27k. Řada ISO/IEC 27k připravované normy. Popis jednotlivých norem. Závěr

Literatura ČSN ISO/IEC 27000 Datum vydání : 1.5.2010 Informační technologie - Bezpečnostní techniky - Systémy řízení bezpečnosti informací - Přehled a slovník. ČSN ISO/IEC 27001 Datum vydání : 1.10.2006 Informační technologie - Bezpečnostní techniky - Systémy managementu bezpečnosti informací - Požadavky. ČSN ISO/IEC 27002 / 17799 Datum vydání : 1.8.2006 Informační technologie - Bezpečnostní techniky - Soubor postupů pro management bezpečnosti informací.

Literatura ČSN ISO/IEC 27004 Datum vydání : 1.1.2011 Informační technologie - Bezpečnostní techniky - Řízení bezpečnosti informací - Měření ČSN ISO/IEC 27005 Datum vydání : 1.7.2009 Informační technologie - Bezpečnostní techniky - Řízení rizik bezpečnosti informací. ČSN ISO/IEC 27006 Datum vydání : 1.4.2008 Informační technologie - Bezpečnostní techniky Požadavky na orgány provádějící audit a certifikaci systémů řízení bezpečnosti informací.

Co jsou normy Normy jsou definovány jako směrnice, pravidlo, jehož zachování je závazné, např. mravní, právní, technické. Technická norma přesně stanovuje požadované vlastnosti, provedení, tvar nebo uspořádání opakujících se předmětů nebo způsobů a postupů práce, popř. vymezuje všeobecně užívané technické pojmy. Hlavními úkoly normy jsou např.: zjednodušování a snižování rozmanitosti výrobků a činností; dorozumívací funkce mezi výrobcem a zákazníkem a mezi výrobci v národním i mezinárodním měřítku; zavádění symbolů a kódů ke zjednodušení obchodního styku a překonání potíží způsobených rozdílností jazyků; zlepšení hospodárnosti; ochrana spotřebitele.

Řada ISO/IEC 27k Do této doby byly publikovány následující normy: ISO 27000 - definice pojmů a terminologický slovník pro všechny ostatní normy z této série byl vydán v květnu 2009. ISO 27001 (BS7799-2) - hlavní norma pro Systém řízení bezpečnosti informací (ISMS), dříve známá jako BS7799 část 2, podle které jsou systémy certifikovány. Norma byla publikována koncem října 2005. ISO 27002 (ISO/IEC 17799 & BS7799-1) - aktuální verze normy byla prvně publikována v červnu 2005 jako ISO/IEC 17799:2005. V červenci 2007 došlo k přejmenování ISO/IEC 17799:2005 na ISO/IEC 27002:2005, obsahově se normy neliší. ISO 27004 - norma byla publikována v prosinci 2009 pod názvem "Information technology - Security techniques - Information security management - Measurement".

Řada ISO/IEC 27k Do této doby byly publikovány následující normy: ISO 27005 - norma byla publikována v červnu 2008 pod názvem "Information technology - Security techniques - Information security risk management".. ISO 27006 - norma byla publikována v březnu 2007 pod názvem Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems. ISO 27011 - doporučení a požadavky na řízení bezpečnosti informací v prostředí telekomunikačních operátorů. ISO 27799 - doporučení a požadavky na řízení bezpečnosti informací ve zdravotnických zařízeních.

Řada ISO/IEC 27k

Řada ISO/IEC 27k připravované normy ISO 27007 - norma bude obsahovat doporučení pro auditování ISMS. ISO 27008 - norma bude obsahovat doporučení auditorům ISMS a bude doplňovat ISO 27007. ISO 27009 - norma bude obsahovat doporučení pro auditování bezpečnostních opatření. ISO 27010 - norma by měla poskytovat doporučení pro vzájemnou komunikaci organizací a komunikaci organizací s vládou nejen v době krize. ISO 27012 - projekt pro tvorbu normy, která měla poskytovat bezpečnostní doporučení pro státní správu při elektronické komunikaci s občany, byl zrušen. ISO 27013 - norma by měla poskytovat doporučení pro implementaci ISO/IEC 20000 a ISO/IEC 27001. ISO 27014 - norma by měla poskytovat doporučení organizacím při návrhu Information Security Governance. ISO 27015 - doporučení a požadavky na řízení bezpečnosti informací v prostředí finančních institucí (banky, pojišťovny apod.).

Řada ISO/IEC 27k připravované normy ISO 27031 - norma bude obsahovat doporučení pro zajištění kontinuity činností organizace (business continuity). ISO 27032 - pod označení "Guidelines for cybersecurity" vyjde ke konci roku 2010 norma obsahující bezpečnostní doporučení pro poskytovatele internetového připojení. ISO 27033 - soustava norem poskytující doporučení pro implementaci protiopatření vztahujících se k bezpečnosti sítí. ISO 27034 - soustava norem bude publikovaná pod označením "Information technology Security techniques Application security". ISO 27035 - pod názvem "Security incident management" by měla vyjít norma vycházející z ISO TR 18044. ISO 27036 - norma bude obsahovat doporučení organizacím pro hodnocení a snižování rizik týkajících se outsourcovaných služeb a pro podporu implementace bezpečnostních opatření podle standardu ISO/IEC 27002. ISO 27037 - norma bude obsahovat doporučení pro zjišťování, sběr a získávání a uchovávání digitálních důkazů.

ČSN ISO/IEC 27000 ČSN ISO/IEC 27000 - Dat.vydání : 1.5.2010 Informační technologie - Bezpečnostní techniky - Systémy řízení bezpečnosti informací - Přehled a slovník. Tato mezinárodní norma poskytuje přehled systémů řízení bezpečnosti informací, které tvoří předmět rodiny norem ISMS a definuje souvisící termíny. Termíny a definice uvedené v této normě se týkají termínů a definic obecně použitých v rodině norem ISMS, nikoliv všech termínů a definic.

ČSN ISO/IEC 27001 ČSN ISO/IEC 27000 - Dat.vydání : 1.10.2006 Informační technologie - Bezpečnostní techniky - Systémy managementu bezpečnosti informací - Požadavky. Norma poskytuje doporučení jak aplikovat vybraná opatření ISO/IEC 17799:2005 (do budoucna ISO/IEC 27002) v rámci procesu ustavení, provozu, údržby a zlepšování systému managementu bezpečnosti informací (Information Security Management System, ISMS) v organizaci. Norma prosazuje přijetí procesního přístupu k řešení ISMS, zavádí model známý jako Plánuj-Dělej- Kontroluj-Jednej (Plan-Do-Check-Act nebo zkratkou PDCA).V hlavní části normy jsou specifikovány požadavky na vybudování, zavedení, provoz, monitorování, přezkoumání, udržování, zlepšování a případnou certifikaci zdokumentovaného systému managementu bezpečnosti informací. Jsou zde specifikovány požadavky na výběr a zavedení bezpečnostních opatření chránících informační aktiva. V příloze A jsou uvedeny cíle opatření a jednotlivá opatření. V příloze B je uveden vztah mezi principy OECD pro bezpečnost informačních systémů a sítí a fázemi PDCA cyklu. V příloze C je uveden vztah mezi ISO/IEC 9001:2000, ISO/IEC 14001:2004 a ISO/IEC 27001:2005.

ČSN ISO/IEC 27002 ČSN ISO/IEC 27002 / 17799 Datum vydání : 1.8.2006 Informační technologie - Bezpečnostní techniky - Soubor postupů pro management bezpečnosti informací. Tato mezinárodní norma poskytuje doporučení a obecné principy pro vymezení, zavedení, udržování a zlepšování systému managementu bezpečnosti informací v organizaci. Cíle, popsané v normě, poskytují rady o obecně přijímaných cílech managementu bezpečnosti. Cíle opatření a jednotlivá opatření obsažená v této mezinárodní normě by měla být implementována na základě požadavků zjištěných v rámci analýzy rizik. Norma může sloužit jako praktický průvodce při vývoji bezpečnostních standardů organizace, účinných řídících bezpečnostních postupů a také při budování důvěry mezi organizacemi.

ČSN ISO/IEC 27004 ČSN ISO/IEC 27004 - Dat.vydání : 1.1.2011 Informační technologie - Bezpečnostní techniky - Řízení bezpečnosti informací - Měření. Tato norma poskytuje doporučení pro vývoj a používání metrik a pro měření účinnosti zavedeného systému řízení bezpečnosti informací (ISMS) a účinnosti opatření nebo skupin opatření, jak je uvedeno v ISO/IEC 27001. Implementace těchto doporučení je předmětem programu měření bezpečnosti informací. Program měření bezpečnosti informací zahrnuje procesy rozvoje metrik a měření, provádění měření, analýzu dat a hlášení výsledků měření a dále proces vyhodnocení a zlepšování programu měření bezpečnosti informací. V příloze normy jsou pak uvedeny příklady konceptů měření pro určitá opatření nebo procesy ISMS.

ČSN ISO/IEC 27005 ČSN ISO/IEC 27005 - Dat.vydání : 1.7.2009 Informační technologie - Bezpečnostní techniky - Řízení rizik bezpečnosti informací. Tato mezinárodní norma poskytuje doporučení pro řízení rizik bezpečnosti informací v rámci organizace, podporuje obecný koncept specifikovaný v ISO/IEC 27001 a je strukturována, aby dostatečně podporovala implementaci informační bezpečnosti založené na přístupu řízení rizik. Nicméně tato mezinárodní norma nenabízí konkrétní metodiku pro řízení rizik bezpečnosti informací. Záleží jen na organizaci, jaký přístup k řízení rizik zvolí, např. v závislosti na rozsahu ISMS, kontextu řízení rizik, průmyslovém odvětví. V souladu s přístupem k řízení rizik popsaným v této normě lze pro implementaci požadavků ISMS použít některou z celé řady existujících metodik pro řízení rizik. Norma je určená manažerům a pracovníkům, kteří jsou v rámci organizace odpovědní za řízení rizik bezpečnosti informací a tam, kde je to relevantní, také externím subjektům. Je aplikovatelná na všechny typy organizací (např. komerční společnosti, vládní organizace, neziskové organizace), které mají v úmyslu řídit rizika, která mohou narušit bezpečnost informací organizace.

ČSN ISO/IEC 27006 ČSN ISO/IEC 27006 - Dat.vydání : 1.4.2008 Informační technologie - Bezpečnostní techniky - Požadavky na orgány provádějící audit a certifikaci systémů řízení bezpečnosti informací. Tato norma specifikuje požadavky a poskytuje doporučení pro orgány provádějící audit a certifikaci systému řízení bezpečnosti informací (ISMS) a doplňuje tak požadavky obsažené v ČSN ISO/IEC 17021 a ČSN ISO/IEC 27001. Norma je primárně určená k podpoře procesu akreditace certifikačních orgánů poskytujících certifikace ISMS.

ZÁVĚR Normy jsou definovány jako směrnice, pravidlo, jehož zachování je závazné, např. mravní, právní, technické. Technická norma přesně stanovuje požadované vlastnosti, provedení, tvar nebo uspořádání opakujících se předmětů nebo způsobů a postupů práce, popř. vymezuje všeobecně užívané technické pojmy. Rodina norem 27k má pomoci organizacím všech typů a velikostí zavést a provozovat systém ISMS. Organizace mohou použitím rodiny norem ISMS vyvinout a implementovat rámec pro řízení bezpečnosti svých bezpečnostních aktiv a připravit nezávislé ohodnocení svých ISMS.

Dotazy? pplk. Ing. Petr HRŮZA, Ph.D. Univerzita obrany, Fakulta ekonomiky a managementu Katedra vojenského managementu a taktiky E-mail.: petr.hruza@unob.cz

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář