Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Praktické využití norem bezpečnosti informací

ZveřejnilJitka Říhová

Podobné prezentace

Prezentace na téma: "Praktické využití norem bezpečnosti informací"— Transkript prezentace:

1 Praktické využití norem bezpečnosti informací
Luděk Novák

2 Security and Protection of Information 2013 © Luděk Novák
Obsah Představení subkomise JTC 1/SC 27 Systém řízení bezpečnosti informací v2013 Normy řízení bezpečnosti informací pro odvětví Normy zaměřené na bezpečnostní opatření Systém řízení služeb IT Systém řízení kontinuity činností 22. května 2013 Security and Protection of Information 2013 © Luděk Novák

3 Představení subkomise JTC 1/SC 27
Normy a standardy v oblasti bezpečnosti 7. listopadu 2006 Představení subkomise JTC 1/SC 27 Oblasti normalizace subkomise JTC 1/SC 27 – Bezpečnostní techniky IT Identifikace požadavků a metodik bezpečnostních služeb systémů IT Vývoj bezpečnostních technik a mechanismů Vývoj směrnic pro interpretaci normalizačních požadavků Vývoj dokumentů a norem pro podporu řízení (terminologie, kritéria pro hodnocení apod.) 22. května 2013 Security and Protection of Information 2013 © Luděk Novák Copyright © ANECT, 2006

4 Pracovní skupiny JTC 1/SC27
Source: JTC 1/SC 27 22. května 2013 Security and Protection of Information 2013 © Luděk Novák

5 Security and Protection of Information 2013 © Luděk Novák
Stádia tvorby norem ISO resp. ISO/IEC – mezinárodní norma FDIS – konečný návrh mezinárodní normy (2013) DIS – návrh mezinárodní normy (2014) CD – návrh komise (2014 – 2015) WD – pracovní návrh (2014 – 2016) NP – nový projekt (?) 22. května 2013 Security and Protection of Information 2013 © Luděk Novák

6 Významné normy JTC 1 / SC 27 / WG1 Řízení bezpečnosti informací
22. května 2013 Security and Protection of Information 2013 © Luděk Novák

7 Přehled řady norem ISO/IEC 27000
Základy a slovník ISMS ISO/IEC 27000:2012 (ISO/IEC ) Pravidla certifikace ISMS ISO/IEC 27006:2011 (EA 7/03) Požadavky na ISMS ISO/IEC 27001:2005 (BS :2002) Metody řízení rizik BS :2006 ISO/IEC 27005:2011 (ISO/IEC TR :1998) Měření účinnosti ISMS ISO/IEC 27004:2009 Příloha A Směrnice pro implementaci ISMS ISO/IEC 27003:2010 Soubor postupů ISMS ISO/IEC 27002:2005 (ISO/IEC 17799) Směrnice auditora ISMS ISO/IEC 27007:2011 ISO/IEC TR 27008:2011 Specifické normy, směrnice a standardy 22. května 2013 Security and Protection of Information 2013 © Luděk Novák

8 Úvod do řízení bezpečnosti informací
13. a 14. květen 2008 ČSN ISO/IEC 27001:2006 Systém řízení bezpečnosti informací – Požadavky Norma vychází z BS :2002 ISO/IEC vydána v říjnu 2005 (ukončena platnost BS ) ČSN ISO/IEC 27001:2006 vyšla v říjnu 2006, autor překladu RAC Využití PDCA pro řízení bezpečnosti informací Podle této normy se provádí certifikace !!! Copyright © ANECT, 2008

9 Security and Protection of Information 2013 © Luděk Novák
ISO/IEC 27001:2013 (DIS) Úvod 0.1 0.2 Všeobecně Kompatibilita s dalšími systémy řízení 1 Rozsah 2 Odkazy na normy 3 Termíny a definice 4 Kontext organizace 4.1 4.2 4.3 4.4 Porozumění organizaci a jejímu kontextu Porozumění potřebám a očekávání zainteresovaných stran Určení rozsahu systému řízení Systém řízení bezpečnosti informací 5 Vůdcovství 5.1 5.2 5.3 5.4 Angažovanost vedení Politika Organizační role, odpovědnosti a pravomoci 6 Plánování 6.1 6.2 Činnosti na pokrytí rizik a příležitostí Cíle bezpečnosti informací a plány na jejich dosažení 7 Podpora 7.1 7.2 7.3 7.4 7.5 Zdroje Kompetence Povědomí Komunikace Dokumentované informace 8 Provozování 8.1 8.2 8.3 Plánování a řízení provozu Ohodnocení rizik bezpečnosti informací Zvládání rizik bezpečnosti informací 9 Hodnocení výkonnosti 9.1 9.2 9.3 Monitorování, měření, analýza a hodnocení Interní audity Přezkoumání vedením 10 Zlepšování 10.1 10.2 Neshody a nápravná opatření Neustálé zlepšování 22. května 2013 Security and Protection of Information 2013 © Luděk Novák

10 Security and Protection of Information 2013 © Luděk Novák
Věcné změny ISO/IEC 27001 Řešení kontextu, kde ISMS působí Cíle ISMS a plán jejich dosažení Metriky orientované na plnění cílů ISMS Vlastník rizika jako nástroj přenesení odpovědnosti Dokumentované informace Zůstává prohlášení o aplikovatelnosti Pouze nápravná opatření Preventivní opatření opustí všechny systémy řízení Očekávané vydání: říjen 2013 22. května 2013 Security and Protection of Information 2013 © Luděk Novák

11 Uspořádání ČSN ISO/IEC 27002:2006
Úvod do řízení bezpečnosti informací 13. a 14. květen 2008 Uspořádání ČSN ISO/IEC 27002:2006 Zdroj: ČSN ISO/IEC 27002 Copyright © ANECT, 2008

12 Nové uspořádání ISO/IEC 27002
Bezpečnost provozu Bezpečnost komunikací Akvizice, vývoj a údržba systémů Vztahy s dodavateli Zvládání incidentů bezpečnosti informací Aspekty bezpečnosti informací při řízení kontinuity činností Soulad s požadavky 5 Bezpečnostní politika 6 Organizace bezpečnosti informací 7 Bezpečnost lidských zdrojů 8 Řízení aktiv Řízení přístupů Kryptografie Fyzická bezpečnost a bezpečnost prostředí 22. května 2013 Security and Protection of Information 2013 © Luděk Novák

13 Security and Protection of Information 2013 © Luděk Novák
Věcné změny ISO/IEC 27002 Zjednodušení + odstranění redundantních opatření Bezpečnost sítí, odpovědnost vedení, omezení času přihlášení, … Nové oblasti Bezpečnost v rámci řízení projektů Bezpečnost vývoje informačních systémů Redundance pro řízení kontinuity Podstatné změny Bezpečnost aplikací a transakcí Podrobné bezpečnostní politiky Podrobnější popis řízení incidentů 22. května 2013 Security and Protection of Information 2013 © Luděk Novák

14 Security and Protection of Information 2013 © Luděk Novák
Významné normy JTC 1 / SC 27 / WG1 Řízení bezpečnosti informací pro odvětví 22. května 2013 Security and Protection of Information 2013 © Luděk Novák

15 IEC 62443 Bezpečnost průmyslových systémů
22. května 2013 Security and Protection of Information 2013 © Luděk Novák

16 Přehled oborových norem
ISO/IEC Řízení bezpečnosti informací pro komunikaci mezi organizacemi (2012) ISO/IEC Směrnice řízení bezpečnosti informací pro telekomunikace (2008) ISO/IEC Směrnice pro společné nasazení ISO/IEC a ISO/IEC (2012) ISO/IEC Governance bezpečnosti informací (2013) ISO/IEC Směrnice řízení bezpečnosti informací pro finanční služby (2012) ISO/IEC Řízení bezpečnosti informací – Organizační ekonomika (PDTR) ISO/IEC Směrnice pro bezpečné použití služeb cloud computing (WD) ISO/IEC Směrnice pro ochranu dat pro veřejné služby cloud (WD) ISO/IEC Směrnice pro energetické řídicí systémy (DTR) 22. května 2013 Security and Protection of Information 2013 © Luděk Novák

17 Významné normy JTC 1 / SC 27 / WG4 Bezpečnostní opatření
22. května 2013 Security and Protection of Information 2013 © Luděk Novák

18 Security and Protection of Information 2013 © Luděk Novák
ISO/IEC 27031 Specifikace pro připravenost ICT na kontinuitu organizace (2011) Významným východiskem BS 25777 Efektivní přístup k rozdělení podpůrných aktiv Koncepce testování kontinuity 22. května 2013 Security and Protection of Information 2013 © Luděk Novák

19 Security and Protection of Information 2013 © Luděk Novák
Zdroj: ISO/IEC 27031 22. května 2013 Security and Protection of Information 2013 © Luděk Novák

20 Pojetí řízení kontinuity
Zdroj: ISO/IEC 27031 22. května 2013 Security and Protection of Information 2013 © Luděk Novák

21 Security and Protection of Information 2013 © Luděk Novák
Testování kontinuity Zdroj: ISO/IEC 27031 22. května 2013 Security and Protection of Information 2013 © Luděk Novák

22 Security and Protection of Information 2013 © Luděk Novák
ISO/IEC 27032 Směrnice pro kybernetickou bezpečnost (2012) Zdroj: ISO/IEC 27032 22. května 2013 Security and Protection of Information 2013 © Luděk Novák

23 Pojetí kybernetické bezpečnosti
Zdroj: ISO/IEC 27032 22. května 2013 Security and Protection of Information 2013 © Luděk Novák

24 Security and Protection of Information 2013 © Luděk Novák
ISO/IEC (18028) Bezpečnost sítí Část 1: Směrnice pro bezpečnost sítí (2009) Část 2: Směrnice pro návrh a nasazení bezpečnosti sítí (2012) Část 3: Záležitosti hrozeb, návrhu, technologií a opatření (2010) Část 4: Zabezpečení komunikace mezi sítěmi s využitím bezpečných brán (DIS) Část 5: Zabezpečení komunikace mezi sítěmi s využitím virtuálních privátních sítí VPN (DIS) Část 6: Zabezpečení přístupu k síti IP s využitím bezdrátových technologií (WG) 22. května 2013 Security and Protection of Information 2013 © Luděk Novák

25 Pojetí bezpečnosti sítě
Zdroj: ISO/IEC 27033 22. května 2013 Security and Protection of Information 2013 © Luděk Novák

26 Security and Protection of Information 2013 © Luděk Novák
ISO/IEC 27034 Bezpečnost aplikací Část 1: Přehled a koncepce (2011) Část 2: Normativní rámce organizace (WD) Část 3: Proces řízení bezpečnosti aplikací (NP) Část 4: Validace bezpečnosti aplikací (NP) Část 5: Datová struktura protokolů a opatření bezpečnosti aplikací (WD) Část 6: Bezpečnostní pokyny pro specifikování datové struktury aplikačních opatření (WD) 22. května 2013 Security and Protection of Information 2013 © Luděk Novák

27 Pojetí bezpečnosti aplikací
Zdroj: ISO/IEC 27034 22. května 2013 Security and Protection of Information 2013 © Luděk Novák

28 Security and Protection of Information 2013 © Luděk Novák
ISO/IEC (18044) Řízení bezpečnostních incidentů (2011) Část 1: Principy řízení incidentů (WD) Část 2: Směrnice pro plánování a přípravu reakce na incident (WD) Část 3: Směrnice pro provoz CSIRT (WD) 22. května 2013 Security and Protection of Information 2013 © Luděk Novák

29 Pojetí řízení bezpečnostních incidentů
22. května 2013 Security and Protection of Information 2013 © Luděk Novák Zdroj: ISO/IEC 27035

30 Security and Protection of Information 2013 © Luděk Novák
ISO/IEC 27036 Bezpečnost informací ve vztazích s dodavateli Část 1: Přehled a koncept (DIS) Část 2: Požadavky (DIS) Část 3: Směrnice pro bezpečnost v dodavatelském řetězci ICT (DIS) Část 4: Směrnice pro bezpečnost služeb v cloudu (WD) 22. května 2013 Security and Protection of Information 2013 © Luděk Novák

31 Pojetí bezpečnosti ve vztazích s dodavateli
22. května 2013 Security and Protection of Information 2013 © Luděk Novák Zdroj: ISO/IEC 27036

32 Security and Protection of Information 2013 © Luděk Novák
ISO/IEC 27037 Směrnice pro určování, sbírání a získávání a ochranu digitálních důkazů (2012) 22. května 2013 Security and Protection of Information 2013 © Luděk Novák

33 Další připravované normy
ISO/IEC Směrnice pro vedení digitálních záznamů (DIS) ISO/IEC Výběr, nasazení a provoz systémů pro detekci a prevenci průniku (DIS) ISO/IEC Bezpečnost uložení dat (CD) ISO/IEC Řízení informací a událostí bezpečnosti informací (SIEM) (WD) 22. května 2013 Security and Protection of Information 2013 © Luděk Novák

34 Normy významné pro bezpečnost mimo působnost JTC 1/ SC 27
22. května 2013 Security and Protection of Information 2013 © Luděk Novák

35 Security and Protection of Information 2013 © Luděk Novák
ISO/IEC 20000 Řízení služeb IT Část 1: Požadavky na systém řízení služeb (2011) Část 2: Pokyny pro použití systémů řízení služeb (2012) Část 3: Pokyny pro vymezení rozsahu a použitelnosti ISO/IEC 20000­1 (2012) Část 4: Referenční model procesů (CD) Část 5: Příklad plánu zavedení pro ISO/IEC 20000­1 (DTR) Část 10: Koncept a terminologie (DTR) Část 11: Pokyny o vztahu mezi ISO/IEC 2000 a ITIL (PDTR) ISO/IEC Řízení služeb a integrace ISO/IEC (DTR) 22. května 2013 Security and Protection of Information 2013 © Luděk Novák

36 Pojetí řízení služeb IT
Zdroj: ISO/IEC 22. května 2013 Security and Protection of Information 2013 © Luděk Novák

37 Řízení kontinuity činností
ISO Terminologie (2012) ISO Systémy řízení kontinuity – Požadavky (2012) ISO Systémy řízení kontinuity – Pokyny (2012) ISO Požadavky pro reakci na incidenty (2011) ISO Směrnice pro hodnocení schopností krizového řízení (CD) ISO Směrnice pro nácvik (FDIS) 22. května 2013 Security and Protection of Information 2013 © Luděk Novák

38 Životní cyklus řízení kontinuity
22. května 2013 Security and Protection of Information 2013 © Luděk Novák

39 Security and Protection of Information 2013 © Luděk Novák
Závěr Vždy je jednoduší opisovat než vše tvořit od počátku Publikace ISO resp. ČNI nabízejí velký prostor pro opisování Je potřeba mít představu o tom, z čeho je možné vybírat I opisování si vyžaduje vysokou profesionalitu 22. května 2013 Security and Protection of Information 2013 © Luděk Novák

Stáhnout ppt "Praktické využití norem bezpečnosti informací"

Podobné prezentace

PRŮZKUM NA TÉMA: „Dopady finanční krize“ eficia .

PRŮZKUM NA TÉMA: „Dopady finanční krize“ eficia .
Integrovaný systém kvality v dalším profesním vzdělávání KVALITA V DALŠÍM VZDĚLÁVÁNÍ Liberec, 13.11.2008.

Integrovaný systém kvality v dalším profesním vzdělávání KVALITA V DALŠÍM VZDĚLÁVÁNÍ Liberec,
M A N A G E M E N T 3 Akad. rok 2009/2010, Letní semestr

M A N A G E M E N T 3 Akad. rok 2009/2010, Letní semestr
11 Udržovatelnost a servisní logistika

11 Udržovatelnost a servisní logistika
Presentation Title.

Presentation Title.
1. 2 +30 -43 +18 -5 -21 +31 -2 +1 -32 -17 -11 +8 +33 +23 +19 *Zdroj: Průzkum spotřebitelů Komise EU, ukazatel GfK. Ekonomická očekávání v Evropě Březen.

*Zdroj: Průzkum spotřebitelů Komise EU, ukazatel GfK. Ekonomická očekávání v Evropě Březen.
Konference Bezpečnost v podmínkách organizací a institucí ČR

Konference "Bezpečnost v podmínkách organizací a institucí ČR"
HISTORICKÝ VÝVOJ 1900 Výrobková normalizace, vojenský průmysl

HISTORICKÝ VÝVOJ 1900 Výrobková normalizace, vojenský průmysl
Změny požadavků podle nové normy

Změny požadavků podle nové normy
ČSN EN ISO 19011:2003 Mezinárodní norma

ČSN EN ISO 19011:2003 Mezinárodní norma
NĚKTERÉ ZKUŠENOSTI ZE ZAVÁDĚNÍ ISO 27001

NĚKTERÉ ZKUŠENOSTI ZE ZAVÁDĚNÍ ISO 27001
Dělení se zbytkem 3 MODERNÍ A KONKURENCESCHOPNÁ ŠKOLA

Dělení se zbytkem 3 MODERNÍ A KONKURENCESCHOPNÁ ŠKOLA
MODERNÍ A KONKURENCESCHOPNÁ ŠKOLA reg. č.: CZ.1.07/1.4.00/21.2389 Základní škola, Šlapanice, okres Brno-venkov, příspěvková organizace Masarykovo nám.

MODERNÍ A KONKURENCESCHOPNÁ ŠKOLA reg. č.: CZ.1.07/1.4.00/ Základní škola, Šlapanice, okres Brno-venkov, příspěvková organizace Masarykovo nám.
Podpora v rámci Programu rozvoje venkova v období

Podpora v rámci Programu rozvoje venkova v období
Efektivní informační bezpečnost

Efektivní informační bezpečnost
Dělení se zbytkem 6 MODERNÍ A KONKURENCESCHOPNÁ ŠKOLA

Dělení se zbytkem 6 MODERNÍ A KONKURENCESCHOPNÁ ŠKOLA
Dělení se zbytkem 5 MODERNÍ A KONKURENCESCHOPNÁ ŠKOLA

Dělení se zbytkem 5 MODERNÍ A KONKURENCESCHOPNÁ ŠKOLA
Daniel Kardoš Ing. Daniel Kardoš

Daniel Kardoš Ing. Daniel Kardoš
1 www.pvt.cz E - S V Ě T S E T O Č Í S T Á L E R Y C H L E J I. S T A Č Í T E M U ? Praktická realizace bezpečnostních požadavků standardů ISVS při tvorbě.

1 E - S V Ě T S E T O Č Í S T Á L E R Y C H L E J I. S T A Č Í T E M U ? Praktická realizace bezpečnostních požadavků standardů ISVS při tvorbě.
Město Šlapanice průkopník moderního řízení ve veřejné správě 20. února 2013 9. Národní konference kvality ve veřejné správě.

Město Šlapanice průkopník moderního řízení ve veřejné správě 20. února Národní konference kvality ve veřejné správě.

Podobné prezentace

Reklamy Google