Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Mezinárodní konference ICT Fórum PERSONALIS 2006 Procesní řízení informační bezpečnosti ve státní správě Ing. Jindřich KODL, CSc. Praha 27. 9. 2006 1.

Podobné prezentace


Prezentace na téma: "Mezinárodní konference ICT Fórum PERSONALIS 2006 Procesní řízení informační bezpečnosti ve státní správě Ing. Jindřich KODL, CSc. Praha 27. 9. 2006 1."— Transkript prezentace:

1 Mezinárodní konference ICT Fórum PERSONALIS 2006 Procesní řízení informační bezpečnosti ve státní správě Ing. Jindřich KODL, CSc. Praha 27. 9. 2006 1

2 Osnova Úvod –Architektura orientovaná na služby Informační bezpečnost ve státní správě –COBIT –ITIL –ISO/IEC 17799:2005 a ISO/IEC 27001:2005 Procesy při řízení informační bezpečnosti ICT Fórum / Personalis2006 - Praha 27. 9. 2006 2

3 Úvod Rozvoj informačních technologií a Internetu přivodil mj. vypracování programů elektronizace činnosti orgánů státní správy (resp. veřejné správy) zahrnutých pod pojmem e-government základní cílE-government se netýká pouze využívání Internetu zaměstnanci orgánu státní správy, ale stanovuje základní cíl: –Vytvořit „elektronickou“ administrativu ICT Fórum / Personalis2006 - Praha 27. 9. 2006 3

4 Úvod E – administrativa zahrnuje např.: –on-line nabídky služeb –možnosti v připojení občanů na agendy státní správy Jedná se např. o: –podání informace o admin. postupech –on-line formuláře –distribuci oficiálních dokumentů (oznámení, výzva apod.) e-mailem –diskusní fóra ICT Fórum / Personalis2006 - Praha 27. 9. 2006 4

5 Úvod Transformační proces v rámci státní správy je obdobný procesu, který musela podstoupit podniková sféra při vytváření prostředí pro elektronický business ICT Fórum / Personalis2006 - Praha 27. 9. 2006 5

6 Architektura orientovaná na služby Efektivní přístup k transformaci činností firem i organizací v podnikové sféře využívá metodika Architektura orientovaná na služby „Architektura orientovaná na služby“ (SOA – Service Oriented Architecture) inovaci státní správy SOA ukazuje, že může podstatně přispět při inovaci státní správy. Představuje možnost využít výsledky postupů při definování a implementaci business a technologických služeb. ICT Fórum / Personalis2006 - Praha 27. 9. 2006 6

7 Architektura orientovaná na služby Ve státní správě lze definovat tři základní skupiny služeb: –státní správa - obyvatelstvo –státní správa – podniková sféra –služby v rámci orgánů státní správy ________________________ Analýzy v Německu v rámci realizace programu e-government ukázaly na požadavek zajistit cca 400 typů služeb ICT Fórum / Personalis2006 - Praha 27. 9. 2006 7

8 Architektura orientovaná na služby Elektronizace státní správy z pohledu využívání informačních technologií Architektonický model pro aplikace ve státní správě ICT Fórum / Personalis2006 - Praha 27. 9. 2006 8 - Přístupové body - Zpracování informací - Vývoj infrastruktury a aplikací - databázové prostředí

9 Informační bezpečnost ve státní správě V průběhu svého standardního životního cyklu prochází informace etapou: Vytvoření; Uložení; Zpracování; Přenosu a distribuce; Užití. ICT Fórum / Personalis2006 - Praha 27. 9. 2006 9 Během všech těchto etap ale může u dané informace dojít k jejímu: Zničení; Znehodnocení; Využití k jiným účelům (vesměs neoprávněným); Ztrátě; Nedostupnosti.

10 Informační bezpečnost ve státní správě Základní trendy Trend orientace architektury IS na podporu služeb; Trend orientace na procesní stránku činností organizace – místo na technická řešení. ICT Fórum / Personalis2006 - Praha 27. 9. 2006 10

11 Informační bezpečnost ve státní správě Postup v rámci SOA procesní model podpory služeb reaguje na požadavky svázané s činností orgánu státní správy z architektonických hledisek orientovaných na: –služby klientům, –informace, –technologie, –správu systémů, –bezpečnost. ICT Fórum / Personalis2006 - Praha 27. 9. 2006 11

12 Informační bezpečnost ve státní správě Metodologie COBIT verze 4 –strukturovaný pohled na řízení IT - model RACI využitý pro určení míry zodpovědnosti řídících složek, tj. kdo je (Responsible, Accountable, Consulted, Informed), –definice vedoucích rolí na jednotlivých úrovních a požadované činnosti, –organizační struktury procesů. V rámci COBIT je vytvořeno strukturované prostředí, ve kterém organizace může fungovat, resp. je poukázáno na to „CO“ má z pohledu řízení oblasti IT zajišťovat. ICT Fórum / Personalis2006 - Praha 27. 9. 2006 12

13 Informační bezpečnost ve státní správě Rámec popisující „ JAK“ jsou definovány řídící procesy v prostředí IT, resp. „JAK“ jsou v informační infrastruktuře svázány procesy řízení bezpečnosti s ostatními řídícími procesy, je obsažen v ITIL (Information Technology Infrastructure Library), což je obsáhlý a logicky utříděný soubor postupů, zejména pro řízení služeb a návazných procesů. ICT Fórum / Personalis2006 - Praha 27. 9. 2006 13

14 Informační bezpečnost ve státní správě Normy ISO/IEC 17799: 2005 a ISO/IEC 27001:2005 1.Předpis zahrnující zásady pro správu informační bezpečnosti (Code of practice for information security management) 2.Definice požadavků na správu systému řízení bezpečnosti informací (Information Security Management System – ISMS). Norma ad 2) zvýrazňuje procesní pojetí při zavádění ISMS do prostředí organizace. ICT Fórum / Personalis2006 - Praha 27. 9. 2006 14

15 Procesy řízení informační bezpečnosti Návrh (dle přístupu SOA) bezpečnostních procesů navazuje na: –vyhodnocení výsledků z metodologie COBIT v.4; –postupy definované v rámci ITIL; –východiska normy ISO/IEC 27001 soustředěné na požadované činnosti, které je třeba zajistit při zavádění ISMS do prostředí IS. ICT Fórum / Personalis2006 - Praha 27. 9. 2006 15

16 Procesy řízení informační bezpečnosti Zavedení bezpečnostních procesů těsně souvisí zavedením systému řízení informační bezpečnosti (ISMS). ICT Fórum / Personalis2006 - Praha 27. 9. 2006 16

17 Procesy řízení informační bezpečnosti Fáze plánování –definice politiky ISMS,ve vazbě na bezpečnostní politiku státu –definice postupů a procesů při řízení rizik (identifikace, hodnocení), –vymezení rizik v souvislosti s dopadem na celkovou politiku a cíle stanovené v jednotlivých orgánech státní správy. Fáze implementace –zavedení procesů a postupů, –implementace bezpečnostních opatření. Fáze kontroly –monitorování navrženého ISMS. Fáze provozu –realizace nápravných opatření. ICT Fórum / Personalis2006 - Praha 27. 9. 2006 17

18 Otázky a doplnění ICT Fórum / Personalis2006 - Praha 27. 9. 2006 18

19 Děkuji za pozornost Ing. Jindřich Kodl, CSc. jindrich_kodl@kb.cz ICT Fórum / Personalis2006 - Praha 27. 9. 2006 19


Stáhnout ppt "Mezinárodní konference ICT Fórum PERSONALIS 2006 Procesní řízení informační bezpečnosti ve státní správě Ing. Jindřich KODL, CSc. Praha 27. 9. 2006 1."

Podobné prezentace


Reklamy Google