Konference "Bezpečnost v podmínkách organizací a institucí ČR"

Prezentace na téma: "Konference "Bezpečnost v podmínkách organizací a institucí ČR""— Transkript prezentace:

1 Konference "Bezpečnost v podmínkách organizací a institucí ČR"
Certifikace systému řízení informační bezpečnosti dle normy BS7799 AGENDA Klíčová témata Normy a zákony související s ISMS Proces zavádění Proces certifikace Gabriel Lukáč

2 Východisko a cíl prezentace
Informatizace se stává klíčovou nejen konkurenční výhodou, ale podnikatelský úspěch je u většiny subjektů nereálný Informační bezpečnost se dostává (konečně) do popředí zájmů manažérů českých podniků Existuje standardizovaný přístup k informační bezpečnosti, jehož smysluplnost lze ověřit certifikačním procesem založeným na světových standardech

3 Vymezení procesu řízení informační bezpečnosti Legislativní základ
Systém řízení informační bezpečnosti „INFORMATION SECURITY MANAGEMENT SYSTEM“ (ISMS) Aplikované standardy BS-7799, resp. ISO 17799, apod.

4 Zavedení standardů ISMS dle BS 7799
Jasná metodika na základě celosvětových zkušeností (místo experimentů různých zlatokopů) Norma v kontextu systémů řízení dle ISO 9001 / / ... Vychází z potřeb podniku, nikoliv z technické vyspělosti jednotlivých zařízení či technologií Obrana proti „nutnosti“ neustále investovat do různých technických novinek Nabízí systémový přístup k ŘÍZENÍ bezpečnosti informací (tj. nejen informačního systému)

5 Vymezení procesu řízení informační bezpečnosti v systému dle BS 7799
Je kontinuální proces, v průběhu kterého dochází k: vyhodnocování rizik, návrhu a realizaci opatření k jejich eliminaci, kontrole aktuálnosti rizik a dodržování opatření k jejich eliminaci, ve stále měnícím se prostředí !!!

6 Ochota managementu se infor. bezp. zabývat a to kontinuálně !
Vymezení procesu řízení informační bezpečnosti Východiska pro budování informační bezpečnosti Ochota managementu se infor. bezp. zabývat a to kontinuálně ! Vyčlenění potřebných vnitřních lidských zdrojů Ochota managementu investovat Připravenost spolupracovat s externími subjekty Připravenost managementu na možné změny, např. v interních procesech, org. struktuře, ...

7 Vymezení procesu řízení informační bezpečnosti Legislativní základ
Zákony: Obchodní zákoník – obchodní tajemství Zákon o ochraně utaj. skut. Zákon o ochraně osobních údajů Zákon o el. podpisu Zákon o některých službách informační společnosti … Normy (ČSN ISO/IEC) 17799 IT – Code of Practice for information Security Management (resp. BS 7799) 13335 – pojetí a modely, řízení a plánování, techniky řízení bezpečnosti IT Evaluation criteria for IT security Standardy ISVS

8 Struktura systému norem v oblasti informační bezpečnosti

9 4. Systém řízení bezpečnosti informací 5. Odpovědnost vedení
Struktura normy BS :2002 1. Působnost 2. Normativní odkazy 3. Definice 4. Systém řízení bezpečnosti informací 5. Odpovědnost vedení 6. Zhodnocení ISMS vedením organizace 7. Zlepšování ISMS Příloha A (Normativní) Cíle a opatření

10 Bezpečnostní politika Organizace bezpečnosti informaci
BS Příloha A Bezpečnostní politika Organizace bezpečnosti informaci Klasifikace a řízení aktiv Personální bezpečnost Fyzická bezpečnost Řízení komunikací a provozu Řízení přístupu Vývoj a údržba systému Řízení kontinuity Soulad s požadavky

11 Postup budování ISMS

12 Analýza rizik zahrnuje:
Riziko = Hodnota aktiva * Pravděpodobnost uplatnění hrozby * Zranitelnost identifikaci aktiv identifikaci hrozeb ohodnocení aktiv určení pravděpodobnosti uplatnění hrozby určení zranitelnosti každého aktiva hrozbou výpočet hodnoty Riziko pro každou dvojici aktiva a hrozby

13 Požadavky na dokumentaci
Bezpečnostní politika Popis rozsahu ISMS Analýza rizik (vč. metodiky) Plán řízení rizik Dokumentované postupy (směrnice) Pracovní postupy, havarijní plány, zálohování, přístup třetích stran, požadavky na smluvní vztahy, apod. Záznamy (důkazy v libovolné formě) SOA – „statement of applicability“ – prohlášení o aplikovatelnosti

14 Musí existovat důkazy, že ISMS je zavedeno a dodržováno
Požadavky na záznamy Musí existovat důkazy, že ISMS je zavedeno a dodržováno Jejich správa musí být řízena Zálohování, archivace, skartace, ... Musí být dostupné, zvlášť při řešení bezpečnostních incidentů Příklady záznamů: Návštěvní kniha, provozní deníky, logy autorizačního procesu, apod..

15 Požadavky na organizaci a procesy
Zřízená funkce bezpečnostního manažéra s patřičnými kompetencemi Existence „bezpečnostního fóra“ Definice zodpovědností a role jednotlivých pracovníků v systémů řízení informační bezpečnosti Pravidelná revize systému zodpovědnými pracovníky (interní audity) a vedením (přezkoumání ISMS vedením)

16 Certifikační audit je prováděn jako dvoufázový proces Fáze certifikace
Certifikace ISMS Certifikační audit je prováděn jako dvoufázový proces Fáze certifikace Fáze 1 – Documentation (desktop) review Revize rozsahu a obsahu dokumentace ISMS Fáze 2 – Implementation Audit Revize způsobu, úplnosti a komplexnosti zavedených protiopatření

17 Certifikační audit – 1 fáze
Documentation review Cca. 1 měsíc před druhou fází Zahrnuje: Revize rozsah ISMS Kompletnost požadované dokumentace Revize Statement of Applicability Existence a úplnost bezpečnostní politiky a bezpečnostních standardů Existence záznamů ISMS

18 Certifikační audit – 2 fáze
Implementation audit Zahrnuje: Interview s managementem Interview s vlastníky a uživateli ISMS Revize shody dokumentace s implementovaným systémem Revize jednotlivých částí systému Report jednotlivých zjištění Vypracování zprávy včetně doporučení

19 Vydání certifikátu o shodě se standardy

20 BS 7799: VÝZNAMNÝ VZESTUP CERTFIKACE
Asie Europa Ostatní svět ZDROJ: Gamma Secure Systems Ltd.

21 Počet ISMS certifikací

22 Certifikace ISMS – Česká republika
Certifikováno Eurotel (RW TUV) ŽS Brno (CQS) Pardubický kraj (CQS) Iteral (CQS) Beset (CQS) ... ??? V přípravě Eltodo dopravní systémy Marconia NeXA Eurotender ... ???

23 Děkuji za pozornost. ADRESA SPOJENÍ NeXA, s.r.o. Beranových 65
199 00, Praha 18 SPOJENÍ  Tel.: +420 234 312 962-4 Fax: +420 234 313 052