Normy a standardy ISMS, legislativa v ČR

Podobné dokumenty
Systém řízení informační bezpečnosti (ISMS)

Řízení rizik. RNDr. Igor Čermák, CSc.

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Postupy pro zavedení a řízení bezpečnosti informací

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Normy ISO/IEC 27xxx Přehled norem

Technická komise ISO/JTC1/SC 27 Technická normalizační komise ÚNMZ TNK 20

Normy ISO/IEC 27xxx Přehled norem

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

Cobit 5: Struktura dokumentů

4. Standardy bezpečnosti Řízení kvality (audit) IS BIVŠ 2016

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Luděk Novák. Bezpečnost standardně a trochu praxe

Bezpečnostní normy a standardy KS - 6

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Standardy a definice pojmů bezpečnosti informací

Management informační bezpečnosti

ČESKÁ TECHNICKÁ NORMA

MEZINÁRODNÍ NORMY A DIGITÁLNÍ KONTINUITA. Tomáš Bezouška Praha,

Řízení informační bezpečnosti a veřejná správa

ČESKÁ TECHNICKÁ NORMA

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

ČESKÁ TECHNICKÁ NORMA

Jan Hřídel Regional Sales Manager - Public Administration

Řízení kybernetické a informační bezpečnosti

Regulace a normy v IT IT Governance Sociotechnický útok. michal.sláma@opava.cz

Co je a co není implementace ISMS dle ISO a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o.

Důvěryhodná dlouhodobá a garantovaná archivace (požadavky z pohledu legislativy).

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

MFF UK Praha, 29. duben 2008

3.přednáška. Informační bezpečnost: Řízení IS/IT

Informační bezpečnost. Dana Pochmanová, Boris Šimák

Telefónica O 2. Digitalizace a důvěryhodná archivace dokumentů. RNDr. Miroslav Šedivý Telefónica O2 Business Solutions, spol. s r.o.

ZAVEDENÍ ISMS V OBCHODNÍ SPOLEČNOSTI

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

GDPR SNADNO.info. Ing. Lukáš Přibyl, předseda NSMC Network Security Monitoring Cluster

BEZPEČNOST ICT. Marek Chlup

Datové schránky. únor Jana Kratinová SIKS a.s.

Státní pokladna. Centrum sdílených služeb

Jak na jakost v podnikovém IT Evropský týden kvality Praha

Telefónica O 2. Praktické aspekty dlouhodobého a důvěryhodného ukládání elektronických dokumentů

TVORBA BEZPEČNOSTNÍ POLITIKY ORGANIZACE A HAVARIJNÍHO PLÁNU

Co je to COBIT? metodika

Zkušenosti se zaváděním ISMS z pohledu auditora

Audit informační bezpečnosti

Organizační opatření, řízení přístupu k informacím

Bezpečnostní projekt podle BSI-Standardu 100

Správa a ukládání elektronických dokumentů. Úvod. Ing. Jaroslav Lubas

V Brně dne 10. a

Platná od Bezpečnostní politika. Deklarace

O2 a jeho komplexní řešení pro nařízení GDPR

Normy a systémový přístup k zavádění, provozování a evaluaci ICT systémů pro výuku, vzdělávání a školení. Josef Myslín katedra informatiky VŠMIEP

Integrovaný systém řízení

Vazba na Cobit 5

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

Dopady GDPR a jejich vazby

ZMĚNA ČESKÉHO OBRANNÉHO STANDARDU. AAP-48, Ed. B, version 1

Problematika archivace elektronických dokumentů v CR a EU normy, standardy. M.Širl

Management informační bezpečnosti. V Brně dne 26. září 2013

BEZPEČNOSTNÍ ROLE. a jejich začlenění v organizaci

Dlouhodobé ukládání elektronických záznamů pacienta. Markéta Bušková ECM konzultant, SEFIRA

ČESKÁ TECHNICKÁ NORMA

Pelantová Věra Technická univerzita v Liberci. Předmět RJS. TU v Liberci

Překlad a interpretace pro české prostředí

ANALÝZA RIZIK CLOUDOVÉHO ŘEŠENÍ Z POHLEDU UŽIVATELE. Václav Žid

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

IT Governance. Libor TůmaT. konzultant, AHASWARE. itsmf

Nová archivní legislativa

ANECT, SOCA a bezpečnost aplikací

Legislativa - co se děje v oblasti spisové služby u nás a EU

EXTRAKT z mezinárodní normy

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi října 2011 r

Z K B V P R O S T Ř E D Í

PŘÍLOHA 8 BEZPEČNOST, OCHRANA MAJETKU A OSOB

ISO/IEC certifikace v ČR. Miroslav Sedláček

Předmluva 13. Definice interního auditu 27. Etický kodex 31 Úvod 31 Uplatnitelnost a vymahatelnost 31 Základní zásady 31 Pravidla jednání 33

Kybernetická bezpečnost

Zákon o kybernetické bezpečnosti

Kybernetická bezpečnost Zákonná povinnost nebo existenční nutnost?

Nová reglementace spisové služby

V Brně dne a

Obsah. Příloha č. 2: Standardy a doporučení Verze:

Úvod do problematiky informační bezpečnosti. Ing. Jan Bareš, CISA

Metodický dohled - jak správně ošetřit požadavky legislativy ICT projektu Jan Heisler, Relsie, spol. s r.o.

POPIS STANDARDU CEN TC278/WG1. Oblast: ELEKTRONICKÉ VYBÍRÁNÍ POPLATKŮ (EFC) Zkrácený název: ZKUŠEBNÍ POSTUPY 2. Norma číslo:

Informatika / bezpečnost

METODIKY ŘÍZENÍ ICT: ITIL, COBIT, IT GOVERNANCE

ATOS Důvěryhodné úložiště pro státní správu

4. Metodiky auditu ( Cobit 4 a Cobit 5) Řízení kvality (audit) IS BIVŠ ZS15

Certifikace Národní digitální knihovny podle ISO normy Jan Mottl AiP Safe s.r.o.

METODIKA PROVÁDĚNÍ AUDITU COBIT

Records Management. Úvod do problematiky správy dokumentů a informací

Bezpečnostní politika společnosti synlab czech s.r.o.

Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts

Transkript:

Normy a standardy ISMS, legislativa v ČR RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost, MI-IBE, zimní semestr 2011/2012, Přednáška 5 MI-POA Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti Informační bezpečnost (MI-IBE) 5.přednáška Normy a standardy ISMS, legislativa v ČR 1

Možná cesta: Zavádění ISMS metodologie COBIT v oblasti řízení IT a definování zodpovědností, Procesní charakter řešení bezpečnosti, Naplnění legislativních požadavků (ochrana osobních dat, oborová legislativa) Bezpečnost nelze posuzovat pouze v kontextu návratnosti investic, ale zejména v kontextu zvládání rizik. Zavádění ISMS Proces správy a řízení rizik je základem ISMS Bezpečnost informací nelze ztotožnit s bojem proti hackerům a spamu Výběr vhodné metodologie a nástroje analýzy rizik (CRAMM, Octave, FRAAP, RA Tool,.) Využití standardů při zavádění ISMS norma doporučuje zřízení kontinuálního a systematického procesu řízení bezpečnosti ISMS není třeba nasazovat plošně. 2

Předpoklady zavedení ISMS podpora a odpovědnost vedení společnosti kvalifikovaný tým pro zavedení ISMS konzultační podpora zavedené funkční řídící procesy ve společnosti (ISMS je součástí systému řízení společnosti): ISO 9000 (kvalita) ISO 14000 (životní prostředí) ISO 20000 (procesy řízení IT služeb) funkční řídící dokumentace definovaný rozsah ISMS Role manažera úspěšné zavedení a provozování ISMS by mělo být hlavním cílem a náplní činnosti manažera společnosti odpovědného za informační bezpečnost (CIO, CISO, bezpečnostní ředitel, jiný člen vedení společnosti, ); pro dosažení tohoto cíle je nezbytná skutečná podpora vrcholového vedení společnosti (resp. generálního ředitele, CEO, předsedy představenstva,..) poskytnutí této podpory je jejich hlavním úkolem; Rozpočet na oblast bezpečnosti Organizační struktura bezpečnostní fórum (rada, výbor) Metriky pro měření bezpečnosti Bezpečnostní audity 3

Bezpečnostní standardy (normy) Významná podpora pro zavádění informační bezpečnosti (metodický nástroj) Důležitý prvek informační bezpečnosti sjednocující formy bezpečnostních opatření a přístupy k informační bezpečnosti Využití best practices ( nejlepších zkušeností ) pomáhá při řešení bezpečnostních otázek Konfrontace s realitou v organizaci - přizpůsobení Bezpečnostní standardy (normy) Proč postupovat dle norem? Systém řízení byl měl vyváženě přistupovat k řešení fyzické, technické, procedurální a personální bezpečnosti Bez formálního přístupu (např. dle ISO 27001) vždy u komplexního systému hrozí nebezpečí opomenutí vedoucí k narušení bezpečnosti Bezpečnost informací je zejména o systému řízení, nikoli o technologiích ISMS není (pouze) o IT! 4

Historický vývoj norem Historie vývoje norem InfoSec BS 7799:1995 BS 7799-1:1999 ISO/IEC 17799:2000 ČSN ISO/IEC 17799:2001 ČSN ISO/IEC 17799:2005 ISO/IEC 17799:2005 ČSN BS 7799-2:2004 ISO/IEC 27002:? BS 7799-2:1999 BS 7799-2:2002 ISO/IEC 27001:2005 c:cure:1998 EA7/03:1999 ISO 10011:1991 EA7/03:1999 ISO 10011:1991 ČSN EN ISO 19011:2003 Zdroj DCIT a.s. Základní standardy ISO/IEC 17799:2005 (ČSN ISO/IEC 17799:2006) JE Soubor postupů pro řízení informační bezpečnosti Norma popisuje nejlepší vžitou praxi Best practices - vyvinuta průmyslem pro průmysl Tvoří ucelenou a vyváženou soustavu opatření pro ochranu informačních aktiv Je mezinárodně respektovanou strukturovanou soustavou doporučení určenou pro InfoSec ISO/IEC 27002:2007 5

Základní standardy ISO/IEC 17799:2005 NENÍ Technický standard Neurčuje postupy řízení provozu a údržby (není Guideline, jako např. ISO TR 13335) Nevztahuje se na konkrétní produkty či technologie Neslouží k hodnocení vlastností produktů či technologií (na rozdíl např. CommonCriteria/ISO15408) Struktura normy ISO/IEC 17799 11 oblastí (clauses), 39 kategorií (objectives), 133 opatření (controls) včetně popisu způsobu implementace Bezpečnostní politika (1) Organizace bezpečnosti (2) Klasifikace a řízení aktiv (2) Bezpečnost lidských zdrojů (3) Fyzická bezpečnost a bezpečnost prostředí (2) Řízení komunikací a řízení provozu (10) Řízení přístupu (7) Nákup, vývoj a údržba informačního systému (6) Zvládání bezpečnostních incidentů (2) Řízení kontinuity činností organizace (1) Soulad s požadavky (3) 6

Základní standardy ISO/IEC 27001:2005 = ISMS ČSN ISO/IEC 27001:2006 Systém managementu bezpečnosti informací = Specifikace s návodem k použití Obsahuje požadavky na procesy ISMS (PDCA) Všechny požadavky závazné (žádný nelze vyloučit) Obsahuje soubor kontrol ne všechny mohou být použitelné, některé naopak mohou chybět v praxi Kontroly jsou vybrány podle nejlepší vžité praxe nebo souvisí se základními legislativními požadavky Základní standardy Norma ISO/IEC 27001:2005: Podporuje procesní způsob řízení bezpečnosti Definuje metodický rámec řízení bezpečnosti jako procesu, ve kterém se na základě analýzy rizik vybírají opatření odvozená z normy ISO/IEC 17799:2005 Dle ISO/IEC 27001:2005 probíhá certifikace systému ISMS akreditovanou certifikační organizací 7

Nové standardy v oblasti informační bezpečnosti ISO/IEC 2700x 27000:2009 slovník a terminologie ISMS 27003:20010 návod k implementaci norem ISMS 27004:2009 měření účinnosti ISMS 27005:2011 metoda řízení rizik (27005:2005 již zrušeno) 27006:2007 doporučení a požadavky na certifikaci ISMS pro akreditované certifikační autority (organizace); 27007:? doporučení k provádění auditů podle ISMS (v přípravě 2011?) 27008:2011 doporučení pro auditory pro auditování nastavených opatření informační bezpečnosti 27009:? - přečíslováno 8

Nové standardy v oblasti informační bezpečnosti ISO/IEC 2700x 27010:? doporučení pro komunikaci uvnitř organizace a napříč organizacemi 27011:2008 - doporučení a požadavky na řízení bezpečnosti informací v prostředí telekomunikačních firem; 27012:? doporučení a požadavky na řízení bezpečnosti informací v prostředí e-government - zrušeno 27013:? doporučení pro integrovanou implemetaci ISO/IEC 27001 a ISO/IEC 20000 27014:? návrh Governance v oblasti information security 27015:? návrh doporučení a požadavky v oblasti finančních a pojišťovacích služeb Nové standardy v oblasti informační bezpečnosti ISO/IEC 2700x 27016:? - Security techniques -- Information security management -- Organizational economics 27017:? - doporučení a požadavky na řízení bezpečnosti informací v prostředí cloudu (Cloud computing security and privacy management system -- Security controls -- Part 2: Guidelines on information security controls for the use of cloud computing services based on ISO/IEC 27002) 9

Nové standardy v oblasti informační bezpečnosti ISO/IEC 2700x ISO/IEC 27031:2011 ICT readiness for business continuity ISO/IEC 27032:? Guidelines for Cybersecurity ISO/IEC 27033-1:2009 Network Security (Part 1: Overview and concepts) ISO/IEC 27033-2:? Network Security Part 2: Guidelines for the design and implementation of network security ISO/IEC 27033-3:2010 Network Security Part 3: Part 3: Reference networking scenarios -- Threats, design techniques and control issues ISO/IEC 27033-4,5,6,7:? Network Security Part 4,5,6,7, Securing communications between networks using security gateways, Securing communications across networks using Virtual Private Network (VPNs), Securing IP network access using wireless, Wireless; současně ISO/IEC 18028-2,3,4,5:2005,2006 IT Network Security Nové standardy v oblasti informační bezpečnosti ISO/IEC 2700x ISO/IEC 27034:? Guidelines for application security; Part 1: Overview and concepts; Part 2: Organization normative framework; Part 3: Application security management process; Part 4: Application security validation; Part 5: Protocols and application security controls data structure ISO/IEC 27035:2011 Information security incident management ISO/IEC 27036:? Information technology - Security techniques Information security for supplier relationships ISO/IEC 27037:? Guidelines for identification, collection and/or acquisition and preservation of digital evidence 10

Nové standardy v oblasti informační bezpečnosti ISO/IEC 2700x ISO/IEC 27038:? Information technology - Security techniques -- Specification for Digital Redaction ISO/IEC 27039:? Information technology -- Security techniques -- Selection, deployment and operations of intrusion detection systems ISO/IEC 27040:? Information technology -- Security techniques -- Storage security ISO/IEC 27041:? Guidance on assuring suitability and adequacy of investigation methods ISO/IEC 27042:? Guidelines for the analysis and interpretation of digital evidence 11

Související normy ISMS: ISO TR 13569:2005 Směrnice řízení bezpečnosti informací pro finanční služby ISO 27799:2008 Řízení bezpečnosti ve zdravotnictví s použitím ISO/IEC 17799 ISO/IEC 18043:2006 Výběr, nasazení a provoz IDS ISO/IEC TR 18044 Information security Incident Management 17.8.2011 zrušen ISO/IEC 18045:2008 Methodology for IT security evaluation ISO/IEC 15408-1:2009 Evaluation criteria for IT security -- Part 1: Introduction and general model; Part 2 Part 2: Security functional components; Part 3 Part 3: Security assurance components a mnoho dalších.. Legislativa v ČR: Zákon 101/2000 Sb. Zákon o ochraně osobních údajů Zákon 412/2005 Sb. Zákon o ochraně utajovaných informací Zákon 40/2009 Sb. Trestní zákoník Zákon 40/1964 Sb. Občanský zákoník Zákon 121/2000 Sb. Zákon o ochraně autorských práv Zákon 262/2006 Sb. Zákoník práce Zákon 513/1991 Sb. Obchodní zákoník Zákon 127/2005 Sb. Telekomunikační zákon Zákon 227/2000 Sb. o elektronickém podpisu A mnoho dalších legislativních norem řešících z dílčího pohledu oblast bezpečnosti informací 12

Legislativa v ČR: Zákon 499/2004 Sb. o archivnictví a spisové službě ve znění zákona 190/2009 Sb.; Uchovávání dokumentu v digitální podobě provádí určený původce postupem zaručujícím věrohodnost původu dokumentu, neporušitelnost jeho obsahu a čitelnost dokumentu, a to včetně údajů prokazujících existenci dokumentu v digitální podobě v čase. Tyto vlastnosti musí být zachovány po dobu skartační lhůty dokumentu. vyhláška č.191/2009 Sb. o podrobnostech výkonu spisové služby; věstník MV částka 76/2009 část II, Národní standard pro elektronické systémy spisové služby; zákon č.300/2008 Sb. o elektronických úkonech a autorizované konverzi dokumentů ve znění zákona č.190/2009 Sb.; zákon č. 227/2000 Sb. o elektronickém podpisu v platném znění (zejména novela z roku 2004) Legislativa v ČR: Pohled ze světa informační bezpečnosti (InfoSec) důvěrnost, dostupnost, integrita, Nepopiratelnost, autentičnost (původ) = pravost (viz také tzv. fikce pravosti 69 odst. 8 ArchZ) Procesy, směrnice, opatření, kontroly, audity, řízení rizik,.. Regulatorní požadavky (SOX, Basel,..) Ochrana osobních údajů Ochrana dat firmy 13

Otázky? Děkuji za pozornost RNDr. Igor Čermák, CSc. igor.cermak@fit.cvut.cz 14

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář