Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Konference "Bezpečnost v podmínkách organizací a institucí ČR" Gabriel Lukáč AGENDA Klíčová témata Normy a zákony související s ISMS.

Podobné prezentace


Prezentace na téma: "Konference "Bezpečnost v podmínkách organizací a institucí ČR" Gabriel Lukáč AGENDA Klíčová témata Normy a zákony související s ISMS."— Transkript prezentace:

1 Konference "Bezpečnost v podmínkách organizací a institucí ČR" Gabriel Lukáč AGENDA Klíčová témata Normy a zákony související s ISMS Proces zavádění Proces certifikace Certifikace systému řízení informační bezpečnosti dle normy BS7799

2 Východisko a cíl prezentace Informatizace se stává klíčovou nejen konkurenční výhodou, ale podnikatelský úspěch je u většiny subjektů nereálný Informační bezpečnost se dostává (konečně) do popředí zájmů manažérů českých podniků Existuje standardizovaný přístup k informační bezpečnosti, jehož smysluplnost lze ověřit certifikačním procesem založeným na světových standardech

3 Vymezení procesu řízení informační bezpečnosti Legislativní základ Systém řízení informační bezpečnosti „INFORMATION SECURITY MANAGEMENT SYSTEM“ (ISMS) Aplikované standardy BS-7799, resp. ISO 17799, apod.

4 Zavedení standardů ISMS dle BS 7799 –Jasná metodika na základě celosvětových zkušeností (místo experimentů různých zlatokopů) Norma v kontextu systémů řízení dle ISO 9001 / /... Vychází z potřeb podniku, nikoliv z technické vyspělosti jednotlivých zařízení či technologií –Obrana proti „nutnosti“ neustále investovat do různých technických novinek Nabízí systémový přístup k ŘÍZENÍ bezpečnosti informací (tj. nejen informačního systému)

5 Vymezení procesu řízení informační bezpečnosti v systému dle BS 7799 Je kontinuální proces, v průběhu kterého dochází k: –vyhodnocování rizik, –návrhu a realizaci opatření k jejich eliminaci, –kontrole aktuálnosti rizik a dodržování opatření k jejich eliminaci, ve stále měnícím se prostředí !!!

6 Vymezení procesu řízení informační bezpečnosti Východiska pro budování informační bezpečnosti Ochota managementu se infor. bezp. zabývat a to kontinuálně ! Vyčlenění potřebných vnitřních lidských zdrojů Ochota managementu investovat Připravenost spolupracovat s externími subjekty Připravenost managementu na možné změny, např. v interních procesech, org. struktuře,...

7 Vymezení procesu řízení informační bezpečnosti Legislativní základ Zákony: –Obchodní zákoník – obchodní tajemství –Zákon o ochraně utaj. skut. –Zákon o ochraně osobních údajů –Zákon o el. podpisu –Zákon o některých službách informační společnosti –…–… Normy (ČSN ISO/IEC) –17799 IT – Code of Practice for information Security Management (resp. BS 7799) –13335 – pojetí a modely, řízení a plánování, techniky řízení bezpečnosti IT – Evaluation criteria for IT security –Standardy ISVS –…–…

8 Struktura systému norem v oblasti informační bezpečnosti BS : 2002 ISO/IEC 17799: 2000 ISO/IEC Informační technologie Bezpečnostní techniky-Kritéria vyhodnocení pro bezpečnost IT ČSN ISO/IEC TR Informační technologie Směrnice pro řízení bezpečnosti IT

9 Struktura normy BS : Působnost 2. Normativní odkazy 3. Definice 4. Systém řízení bezpečnosti informací 5. Odpovědnost vedení 6. Zhodnocení ISMS vedením organizace 7. Zlepšování ISMS Příloha A (Normativní) Cíle a opatření

10 BS Příloha A Bezpečnostní politika Organizace bezpečnosti informaci Klasifikace a řízení aktiv Personální bezpečnost Fyzická bezpečnost Řízení komunikací a provozu Řízení přístupu Vývoj a údržba systému Řízení kontinuity Soulad s požadavky

11 Postup budování ISMS

12 Analýza rizik zahrnuje: Riziko = Hodnota aktiva * Pravděpodobnost uplatnění hrozby * Zranitelnost –identifikaci aktiv –identifikaci hrozeb –ohodnocení aktiv –určení pravděpodobnosti uplatnění hrozby –určení zranitelnosti každého aktiva hrozbou –výpočet hodnoty Riziko pro každou dvojici aktiva a hrozby

13 Požadavky na dokumentaci Bezpečnostní politika Popis rozsahu ISMS Analýza rizik (vč. metodiky) Plán řízení rizik Dokumentované postupy (směrnice) –Pracovní postupy, havarijní plány, zálohování, přístup třetích stran, požadavky na smluvní vztahy, apod. Záznamy (důkazy v libovolné formě) SOA – „statement of applicability“ – prohlášení o aplikovatelnosti

14 Požadavky na záznamy Musí existovat důkazy, že ISMS je zavedeno a dodržováno Jejich správa musí být řízena –Zálohování, archivace, skartace,... Musí být dostupné, zvlášť při řešení bezpečnostních incidentů Příklady záznamů: –Návštěvní kniha, provozní deníky, logy autorizačního procesu, apod..

15 Požadavky na organizaci a procesy Zřízená funkce bezpečnostního manažéra s patřičnými kompetencemi Existence „bezpečnostního fóra“ Definice zodpovědností a role jednotlivých pracovníků v systémů řízení informační bezpečnosti Pravidelná revize systému zodpovědnými pracovníky (interní audity) a vedením (přezkoumání ISMS vedením)

16 Certifikace ISMS Certifikační audit je prováděn jako dvoufázový proces Fáze certifikace –Fáze 1 – Documentation (desktop) review Revize rozsahu a obsahu dokumentace ISMS –Fáze 2 – Implementation Audit Revize způsobu, úplnosti a komplexnosti zavedených protiopatření

17 Certifikační audit – 1 fáze Documentation review –Cca. 1 měsíc před druhou fází –Zahrnuje: Revize rozsah ISMS Kompletnost požadované dokumentace Revize Statement of Applicability Existence a úplnost bezpečnostní politiky a bezpečnostních standardů Existence záznamů ISMS

18 Certifikační audit – 2 fáze Implementation audit –Zahrnuje: Interview s managementem Interview s vlastníky a uživateli ISMS Revize shody dokumentace s implementovaným systémem Revize jednotlivých částí systému Report jednotlivých zjištění Vypracování zprávy včetně doporučení

19 Vydání certifikátu o shodě se standardy

20 BS 7799: VÝZNAMNÝ VZESTUP CERTFIKACE Asie Europa Ostatní svět ZDROJ: Gamma Secure Systems Ltd.

21 Počet ISMS certifikací

22 Certifikace ISMS – Česká republika V přípravě –Eltodo dopravní systémy –Marconia –NeXA –Eurotender –... ??? Certifikováno –Eurotel (RW TUV) –ŽS Brno (CQS) –Pardubický kraj (CQS) –Iteral (CQS) –Beset (CQS) –... ???

23 Děkuji za pozornost. ADRESA NeXA, s.r.o. Beranových , Praha 18 SPOJENÍ Tel.: Fax:


Stáhnout ppt "Konference "Bezpečnost v podmínkách organizací a institucí ČR" Gabriel Lukáč AGENDA Klíčová témata Normy a zákony související s ISMS."

Podobné prezentace


Reklamy Google