Management informační bezpečnosti. V Brně dne 26. září 2013

Podobné dokumenty
Management bezpečnosti fyzické vrstvy

V Brně dne a

Normy ISO/IEC NISS. V Brně dne 7. listopadu 2013

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi října 2011 r

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

Informatika / bezpečnost

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

Management informační bezpečnosti

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

Bezpečnostní normy a standardy KS - 6

Pelantová Věra Technická univerzita v Liberci. Předmět RJS. TU v Liberci

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

srpen 2008 Ing. Jan Káda

ISO 9001 : Certifikační praxe po velké revizi

Jan Hřídel Regional Sales Manager - Public Administration

Bezpečnostní aspekty informačních a komunikačních systémů KS2

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007

ČESKÁ TECHNICKÁ NORMA

Řízení kybernetické a informační bezpečnosti

1. Politika integrovaného systému řízení

BEZPEČNOST ICT. Marek Chlup

ISMS. Uživatel jako zdroj rizik. V Brně dne 5. a 12. prosince 2013

Gradua-CEGOS, s.r.o. člen skupiny Cegos AUDITOR BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

Překlad a interpretace pro české prostředí

BEZPEČNOSTI INFORMACÍ

Celní správa ČR ICT. Ing. Michael Lojda ředitel odboru informatiky GŘC

WS PŘÍKLADY DOBRÉ PRAXE

ŘÍZENÍ JAKOSTI ENVIRONMENTÁLNÍ MANAGEMENT BEZPEČNOST PRÁCE ING. PETRA ŠOTOLOVÁ

MFF UK Praha, 29. duben 2008

Bezpečnost informací Oborové normy

Zdravotnická informatika z pohledu technických norem ISO a EN. RNDr. Vratislav Datel, CSc. Praha 26. dubna 2011

ISO 9001:2015 CERTIFIKACE ISO 9001:2015

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Příloha Vyhlášky č.9/2011

ISO/IEC certifikace v ČR. Miroslav Sedláček

SYSTÉMY ŘÍZENÍ. Ing. Jan Štejfa

AUDITOR KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.5/2007

Řízení rizik. RNDr. Igor Čermák, CSc.

Bezpečnostní politika společnosti synlab czech s.r.o.

Kam směřuje akreditace v příštích letech

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

1. KURZ č. 1 - QMS - Školení a výklad normy ČSN EN ISO 9001: KURZ č. 2 - QMS - Školení interních auditorů QMS a metrologa

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Politika bezpečnosti informací

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

5 ZÁKLADNÍ PRINCIPY SYSTÉMOVÉHO ŘÍZENÍ BOZP

Standardy a definice pojmů bezpečnosti informací

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Gradua-CEGOS, s.r.o. AUDITOR BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI. CS systémy managementu organizací verze 2, 8.2, b) 1.

Informační bezpečnost. Dana Pochmanová, Boris Šimák

Řízení vztahů se zákazníky

AUDITOR EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.9/2007

Zkušenosti se zaváděním ISMS z pohledu auditora

Zásady managementu incidentů

Nástroje IT manažera

Úvod - Podniková informační bezpečnost PS1-2

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

ISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA

ČESKÁ TECHNICKÁ NORMA

Zavádění PKI infrastruktury v organizaci - procesní aspekty. Vlastimil Červený, Kateřina Minaříková Deloitte Advisory, s.r.o.

Efektivní řízení rizik ISMS. Luděk Novák, Petr Svojanovský ANECT a.s.

METODIKA PROVÁDĚNÍ AUDITU COBIT

Příklad I.vrstvy integrované dokumentace

Luděk Novák. Bezpečnost standardně a trochu praxe

Systém řízení informační bezpečnosti (ISMS)

Zvyšování kvality a udržitelnost nastavených standardů

Dokument IAF Závazný dokument IAF

Katalog služeb 2013 C.Q.M. verze 5, aktualizace Vzdělávání, poradenství a SW podpora pro systémy integrovaného managementu

Katalog služeb Verze 5, aktualizace

ČESKÁ TECHNICKÁ NORMA

Projekt implementace managementu bezpečnosti informací v rámci realizace ISO ve firmě Synot ICT Services a.s.

ZADÁVACÍ PODMÍNKY VÝBĚROVÉHO ŘÍZENÍ

NÁVRH A NASAZENÍ SYSTÉMU ŘÍZENÍ BEZPEČNOSTI INFORMACÍ VE VÝUKOVÉM STŘEDISKU

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115

Obsah. Příloha č. 2: Standardy a doporučení Verze:

Metodický pokyn pro akreditaci

MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.8/2007

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Co je a co není implementace ISMS dle ISO a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o.

Bezpečnost IS. Základní bezpečnostní cíle

Služby poskytované BUREAU VERITAS v oblasti certifikace Informační technologie Management služeb (ITSM Information Technology Service Management)

ČSN EN ISO (únor 2012)

POŽADAVKY NORMY ČSN EN ISO 9001:2009 idt. ISO 9001:2008

Zkušenosti z auditů CSR. III. Ročník konference Společenská odpovědnost ve všech oblastech lidské činnosti

Posuzování na základě rizika

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Systém řízení bezpečnosti informací v praxi

BRNO UNIVERSITY OF TECHNOLOGY FAKULTA PODNIKATELSKÁ ÚSTAV INFORMATIKY FACULTY OF BUSINESS AND MANAGEMENT INSTITUTE OF INFORMATICS

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

Co je to COBIT? metodika

SYSTÉMOVÉ ŘEŠENÍ INFORMAČNÍ BEZPEČNOSTI PODNIKU

V Brně dne 10. a

EMS - Systém environmentálního managementu. Jiří Vavřínek CENIA

Transkript:

Management informační bezpečnosti Úvod a základní pojmy V Brně dne 26. září 2013

Základní pojmy Informatika - proces spojený s automatizovaným zpracováním dat Manažerská informatika - propojení dvou oborů - informatiky a managementu, kde se využívá moderních informačních a komunikačních prostředků v manažerské činnosti Informační management pojmový a koncepční výraz IT - informační technologie ****** ICT - informační a komunikační technologie IS - informační systémy ****** ISMS Information Security Management System systém řízení bezpečnosti informací ČSN IEC/ISO 27001 ITSM - IT Service Management - řízení služeb informačních technologií ČSN IEC/ISO 20000 Management informační bezpečnosti 2

IT vs. ICT IT Information Technology (informační technologie) ICT Information and Communication Technology (informační a komunikační technologie) Prostředek přechodu od IT k ICT je konvergence 1. generace konvergence (přenos dat společně s hlasem) dala vzniknout společnému prostředí pro přenos obou signálů po jediném přenosovém médiu (analog a digital po jednom kabelu), poté přichází digitalizace Následuje logicky boj o přenosové protokoly s cílem sjednocení (vítězem je IP protokol pro téměř všechny druhy signálů) Následují další generace konvergence včetně konvergence sítí, služeb a médií (2. generace video, 3. generace bezdrát, 4. generace multimediální sítě) Výsledkem vývoje je bezpečnost IT platná i pro komunikace a nelze ji oddělit! Management informační bezpečnosti 3

Konvergence v ICT Základní dělení konvergence: - pasivní konvergence (využívá pasivně stávající kabelážní systémy) šíření analogových signálů po datové kabeláži - aktivní konvergence (využívá aktivně stávající kabelážní systémy) šíření konvergovaného signálu po datové kabeláži Cílem jsou sítě NGN (Next Generation Network), což jsou konvergované sítě poskytující komplexní síťové služby na úrovni dat, komunikací a multimediálních aplikací. Management informační bezpečnosti 4

Základní pojmy ICT ČSN ISO/IEC 2382-1:1998 je standardem definujícím základní pojmy v ICT v podobě české normy. Informace - v informatice tvoří informaci kódovaná data (pozor, kódováním není myšleno kryptování!). Data - jsou plněním informace, kterou vytváří. Přenos dat - neboli digitální komunikace je přenos digitálních zpráv nebo digitalizovaného analogového signálu pomocí fyzického dvoubodového nebo vícebodového přenosového média, kterým může být metalický kabel, optický kabel nebo bezdrátový přenos. Signál - je fyzikální vyjádření informace ve formě změn fyzikální veličiny v čase. ------------- Informační systém (IS) - lze chápat jako systém vzájemně propojených informací a procesů, které s těmito informacemi pracují. Management informační bezpečnosti 5

Základní pojmy ICT Síťová infrastruktura - je pojem zahrnující všechny síťové prvky a zařízení použité při realizaci ICT prostředí. Může také značit aktiva v oblasti informačních a komunikačních technologií sloužící k vytváření a podpoře informačního systému. Počítačová síť - je součástí síťové infrastruktury sloužící k realizaci komunikačního prostředí mezi uživateli sítě. ------ ISO/OSI model je sedmivrstvý referenční komunikační model podle něhož dochází k propojování p systémů. Management informační bezpečnosti 6

Základní pojmy bezpečnosti Bezpečnost organizace -zajišťuje j bezpečnost objektu a tím také majetku organizace. Informační bezpečnost - neboli bezpečnost informací řeší ochranu informací a dostupnost informací. Bezpečnost IS/ICT - chrání pouze aktiva informačního systému podporovaná informačními a komunikačními technologiemi. Management informační bezpečnosti 7

IMS IMS (Integrated Management System) - Integrovaný systém řízení je filozofie komplexního řízení organizací. QMS (Quality Management System) ISO 9001 EMS (Enviromental Management System) ISO 14001 OHSMS (Occupational Health and Safety Management System) OHSAS 18001 + ISMS Information Security Management System systém řízení bezpečnosti informací (někdy také management bezpečnosti IS) ČSN IEC/ISO 27001 + ITSM - IT Service Management - řízení služeb informačních technologií ČSN IEC/ISO 20000 Management informační bezpečnosti 8

PDCA Jde o metodu postupného zlepšování například kvality výrobků, služeb, procesů, aplikací či dat probíhající formou opakovaného provádění čtyř základních činností: plan (plánuj) naplánování zamýšleného zlepšení (záměr), do (dělej) realizace plánu, check (kontroluj) ověření výsledku realizace oproti původnímu záměru, act (jednej) úpravy záměru i vlastního provedení na základě ověření a plošná implementace zlepšení do praxe. Součástí modelu PDCA ja také dokumentace každé jeho etapy jako jedna zklíčových částí celého modelu. PDCA cyklus (model) = Demingův cyklus (model) W. Edwards Deming (1900 1993) byl americký statistik, který definoval 7 smrtelných chorob firem a je spolutvůrcem TQM (Total Quality Management) Původním autorem metody PDCA je však Demingův duchovní otec Walter A. Shewhart Management informační bezpečnosti 9

Demingův cyklus Demingův model pro ISMS ve čtyřfázové formě: identifikovat procesy popsat a zdokumentovat procesy na základě dokumentace řídit procesy následně optimalizovat procesy ustanovení ISMS, zavádění a provoz ISMS, monitorování a přezkoumání ISMS, údržba a zlepšování ISMS. Management informační bezpečnosti 10

Historie ochrany informací V historické době se ochrana informací soustřeďovala hlavně na zajištění důvěrnosti tedy ochranu před vyzrazením informací. Spříchodem výpočetní techniky a následným rozvojem informačních systémů se však potřeby ochrany informací mění, protože elektronická data jsou snadno modifikovatelná a uložená v podstatě kdekoliv. V 80. létech minulého století byly vypracovány zásady ochrany informačních systémů známá oranžová kniha (standard TCSEC), která byla následována dalšími standardy (ITSEC, CC, atd.). V 90. letech k tomuto trendu, který řeší tuto problematiku především po technické stránce, přistupují standardy zabývající se bezpečnosti IS v konkrétním prostředí a umožňující dosažení určitého stupně bezpečnosti bez složitých technických procedur jedná se o standardy jako například ISO/IEC TR 13335, řada d BS 7799 a podobně. ě Vzniká samostatný obor zajímající se o ochranu dat a nabývající postupně na důležitosti. Management informační bezpečnosti 11

Základy bezpečnosti informací Důvěrnost (Confidentionality) - zajištění přístupu k informacím a poskytnutí pouze oprávněným osobám Integrita (Integrity)- zajištění správnosti a úplnosti informací Dostupnost (Availability) - zajištění dostupnosti informací pro oprávněné uživatele v okamžiku potřeby Bezpečnostní mechanizmus (Security Mechanism) - technika pro implementaci bezpečnostní funkce nebo její části Bezpečnostní funkce (Security Function) funkce systému přispívající k jeho bezpečnosti (řízení přístupů, autentizace, prokazatelnost operací, odpovědnost za ně, audit). Management informační bezpečnosti 12

Pojmy k bezpečnostní problematice Aktivum (Asset) - cokoli v organizaci, i co má nějakou cenu (hmotná a nehmotná) - veškerý hmotný a nehmotný majetek Hrozba (Treat) - akce nebo událost, která může ohrozit bezpečnost (zneužití zranitelnosti) Zranitelnost (Vulnerability) - jakékoliv slabé místo aktiva Opatření (Countremeasure) - jakákoliv aktivita, zařízení, technika či postup snižující sílu hrozby nebo zabránění účinku Riziko (Risk) - kombinace hrozby a zranitelnosti Dopad (Impact) - vznik škody v důsledku hrozby Hrozby Zranitelnosti Aktiva: služby a data informačního systému Dopady Management informační bezpečnosti 13

Normy, standardy Standard - je dokumentovaná úmluva obsahující technické specifikace nebo jiná podobná přesně stanovená kritéria důsledně používaná jako pravidla, směrnice, resp. jako definice charakteristických vlastností zabezpečující, že materiály, výrobky, procesy, služby apod. jsou takové, jaké se zamýšlelo (např. formát kreditní, čipové či telefonní karty, protokol komunikace, politika poskytování služby). Norma je doporučení pro daný standard nebo řešení (konkrétně v ICT se jedná o předpis či směrnici vydávanou různými konsorcii uživatelů a výrobců IT tedy jedná se o doporučení použitelných standardů k realizaci požadovaného kompatibilního řešení). Norma je tedy doporučení!!! Poznámka: Zatímco normy jsou velmi často výsledkem těžce dosaženého kompromisu, standardy velmi často bývají strojem k dynamickému prosazení technické politiky a následného pokroku. Management informační bezpečnosti 14

Normy bezpečnostní CC - Common Criteria - všeobecná kriteria pro hodnocení bezpečnosti IS (ISO 15408) ISMS (Information security managemet system) - systém řízení bezpečnosti informací ISO/IEC 27001, což je specifikace ISMS ISO/IEC 27002 (ISO/IEC 17799) soubor postupů ISO/IEC 27003 směrnice pro implementaci ISMS ISO/IEC 27004 metriky ISMS ISO/IEC 27005 metody řízení rizik ISO/IEC 27006 pravidla certifikace ISMS ISO/IEC 27007 směrnice auditora ISMS atd. Management informační bezpečnosti 15

Stupně auditu Audit - nezávislý a dokumentovaný proces s hodnocením kritérií ií Audit první stranou - interní audit (sebe ověření) Audit druhou stranou - externí audit (dle smluvních vztahů - dodavatel/odběratel) Audit třetí stranou - certifikační audit Management informační bezpečnosti 16

Certifikační problematika Certifikace - je potvrzení shody systému řízení í na základě norem (zvýšení důvěryhodnosti subjektu) Akreditace - postup pro potvrzení nezávislosti, objektivity a způsobilosti pro činnost Certifikační orgán - třetí strana hodnotící a certifikující systém řízení organizace v souladu s normami Příklad akreditačního znaku certifikační společnosti Management informační bezpečnosti 17

Hodnocení kvality IS/IT Hodnocení bezpečnosti IS/IT Druhy a standardy hodnocení kvality v oblasti IS/IT Management informační bezpečnosti 18

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář