ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI Ing. Jiřina Petříková Informační technologie pro praxi 2011 6. října 2011 r
Bezpečnost informací Zvyšuje se cena informací v oblasti soukromého podnikání i státní správy Cílem řízení informační bezpečnosti je chránit data v jakékoliv podobě Cena informací výše škod v případě jejich ztráty, poškození, odcizení
Faktory ohrožující informační aktiva Hrozby přírodního charakteru Blesky, povodně, silný vítr Lidský faktor jako zdroj rizik Hrozby úmyslné, neúmyslné Metody sociálního inženýrství Vnitřní hrozby
Cíle ISMS ISMS zajišťuje ochranu tří základních vlastností informačních aktiv. Jedná se o: dostupnost, důvěrnost a integritu. Cílem není snaha o dokonalou bezpečnost
Principy zavádění ISMS v organizacích Náklady na zavedení bezpečnostních opatření nesmí převyšovat cenu informačních aktiv Odpovědnosti za implementaci a kontrolu bezpečnostních opatření musí být odděleny Opatření nesmí být příliš restriktivní Řízení informační bezpečnosti musí probíhat na všech úrovních organizace veškerá rozhodnutí musí být podporována vrcholovým vedením
Postup zavádění ISMS Klasifikace informačních aktiv Analýza rizik Návrh opatření (Plan) Implementace bezpečnosti (Do) Monitorování (Check) Náprava nedostatků (Act)
Klasifikace informací Identifikace aktiv Stav hmotného a nehmotného majetku Ohodnocení aktiv Náklady vzniklé porušením důvěrnosti, dostupnosti a integrity 7
Analýza rizik Identifikace rizik, vztahujících se k daným aktivům: Co se stane, když nebudou informace chráněny? Jak může být porušena bezpečnost informací? S jakou pravděpodobností se to může stát? 8
Návrh opatření Slouží k nápravě zjištěných nedostatků Opatření by mělo obsahovat: Cíl Popis činností Termín realizace Nároky na zdroje Častou chybou bývá přílišné zaměření na oblast technického zabezpečení 9
Implementace bezpečnosti Zavedení bezpečnostních opatření do praxe SW a HW řešení Školení Bezpečnostní procesy 10
Monitorování a zlepšování ISMS Monitorování funkčnosti a efektivnosti zavedených opatření Problém ve stanovení metrik Např. počet virových incidentu, počet detekovaných útoků na systém, počet uživatelů, kteří při testovacích útocích prozradili důvěrné informace V případě nedostatků jsou vykonána nápravná opatření 11
Cyklus PDCA Zúčastněné strany Plánuj Návrh ISMS Zúčastněné strany Dělej Zavádění a provozování ISMS Jednej Udržování a zlepšování ISMS Bezpečnost informací, požadavky a očekávání Kontroluj Monitorování a přezkoumávání ISMS Řízená bezpečnost informací 12
Přínosy ze zavedení ISMS Splnění požadavků národní legislativy Zajištění přehledu o významných informačních aktivech Optimalizace nákladů na bezpečnostní opatření Minimalizace rizika ekonomických ztrát Zvýšení důvěryhodnosti firmy Vytvoření základu pro další zlepšování kvality služeb
Zdroje CHLUP, Marek. Hrozby? A co s nimi? Gity: Bezpečnost v kostce [online]. 2008 [cit. 2011-01-06]. Dostupný z WWW: <http://www.chrantesidata.cz/cs/art/1153-dil-6/>. ČSN ISO/IEC 27001. Informační technologie Bezpečnostní techniky: Systémy managementu bezpečnosti informací Požadavky. Praha: Český normalizační institut, 2006. 36 s. CHLUP, Marek. Zavedení systému řízení bezpečnosti - ISMS, model PDCA. Gity: Bezpečnost v kostce [online]. 2008 [cit. 2011-01-06]. Dostupný z WWW: <http://www.chrantesidata.cz/cs/art/1148-dil-2/>. NÁDENÍČEK, Petr. Uživatel jako zdroj rizik a přístupy k jejich zvládání. SystemOnLine [online]. 2009 [cit. 2011-01-07]. Dostupný z WWW: <http://www.systemonline.cz/itsecurity/uzivatel-jako-zdroj-rizik-a-pristupy-k-jejich-zvladani-1.htm>. KOPÁČIK, I. a kol. Riadenie a audit v informačnej bezpečnosti. 1. vyd. Bratislava: TATE International Slovakia, 2007. 322 s. ISBN 978-80-969747-0-2. ČSN ISO/IEC 17799. Informační technologie Bezpečnostní techniky: Soubor postupů pro management bezpečnosti informací. Praha: Český normalizační institut, 2006. 102 s. PETŘÍKOVÁ, J. Audit bezpečnosti informací podle normy ISO/IEC 27001:2005 : diplomová práce. Ostrava: VŠB Technická univerzita Ostrava, Ekonomická fakulta, 2010. 73 s.
Děkuji za pozornost r