1 Aplikovaná informatika Aplikovaná informatika Případová studie bezpečnosti IS ZEMÁNEK, Z. - PLUSKAL, D. Operační program Vzdělávání pro konkurenceschopnost.

Slides:



Advertisements
Podobné prezentace
Integrovaný systém kvality v dalším profesním vzdělávání KVALITA V DALŠÍM VZDĚLÁVÁNÍ Liberec,
Advertisements

Podívejme se nejen na mobilní bezpečnost v širším kontextu Michal Rada Iniciativa Informatiky pro Občany.
Oběh dokumentů mezi ústředními orgány státní správy k Ing. Jan Duben Vedoucí projektového týmu březen 2003.
managementu znalostí podle
IS V EKONOMICKÝCH SUBJEKTECH Ing. Jiří Šilhán. IS IS – data+lidi+HW, prvky + relace mezi uživateli, které splňují nějaké cílové chování – tak aby byly.
Audit IT procesů ve FNOL
Definování prostředí pro provozování aplikace dosud jsme řešili projekt v obecné rovině aplikace bude ovšem provozována v konkrétním technickém a programovém.
ÚČEL AUTOMATIZACE (c) Tralvex Yeap. All Rights Reserved.
Daniel Kardoš Ing. Daniel Kardoš
Postavení a úkoly manažera v oblasti řízení lidských zdrojů podniku
1 E - S V Ě T S E T O Č Í S T Á L E R Y C H L E J I. S T A Č Í T E M U ? Praktická realizace bezpečnostních požadavků standardů ISVS při tvorbě.
7. zasedání pracovní skupiny interních auditorů kraje Vysočina
Management kontinuity činností organizace
Řízení přístupových práv uživatelů
Základní registry veřejné správy
Projekt zavádění jednotné bezpečnostní politiky v prostředí VZP ČR
Auditorské postupy Činnosti před uzavřením smlouvy
Hodnocení, realizace a kontrolní etapa. Hodnotí se tři skupiny kriterií: A)Prospěšnost – žádoucnost 1. Jak navržená strategie pomáhá dosažení cílů? 2.
Koncepce environmentální bezpečnosti
Informační strategie. řešíte otázku kde získat konkurenční výhodu hledáte jistotu při realizaci projektů ICT Nejste si jisti ekonomickou efektivností.
Marie Borecká, Kristina Ficencová 6. kruh, 1. ročník VSRR
Systém managementu jakosti
Příprava a realizace kroků k využití strukturálních fondů EU v období 2007 – 13 Jiří Čunek 1.místopředseda vlády a ministr pro místní rozvoj.
Luděk Novák dubna 2006 Proč a jak řídit informační rizika ve veřejné správě.
ISMS VE STÁTNÍ SPRÁVĚ A SAMOSPRÁVĚ
Podpora a rozvoj komunikační infrastruktury ISVS Ing. Lubomír Moravčík
Informačnípodpora řízení kvality ve firmě Informační podpora řízení kvality ve firmě CRM Ekonomický systém Personalistika Datová pumpa Akord Software Datový.
Projekt realizace referenčního rozhraní Ing. Jan Pokorný Ministerstvo informatiky ČR ISSS, 5. dubna 2005.
Analýza rizik Miroslav Čermák.
Zvýšení kvality řízení KÚPK aktivita A3 Informační strategie Analýza Workshop
Zkušenosti se zaváděním systému řízení ochrany informací podle ČSN BS ČSN ISO//IEC ve městě Vsetín Stanislava Konečná Vedoucí odboru kanceláře.
Realizační tým ICZ duben 2005
Management jakosti jako úhelný kámen provozu klinické laboratoře
Vaše jistota na trhu IT Vybudování a provozování e-spisovny Josef Sedláček ICZ a.s.
Komplexní produktivní údržba (TPM)
Zkušenosti ze zavedení systému řízení bezpečnosti informací ve shodě s ISO a ISO na Ministerstvu zdravotnictví ČR Ing. Fares Shima Ing. Fares.
 P1 - Strategické plánování  P2 - Systém managementu jakosti a legislativy  P3 - Řízení informací  P4 – Audity.
Copyright (C) 1999 VEMA počítače a projektování, spol. s r.o.
Základní rozdělení činností v podnikové informatice
Řešení informační bezpečnosti v malých a středních firmách Pavel Šnajdr – Informační management 2 Diplomová práce.
VAZBY MEZI ÚZEMNÍMI ENERGETICKÝMI KONCEPCEMI A UŽIVATELI ENERGIE.
Přístup k řešení bezpečnosti IT Nemochovský František ISSS Hradec Králové, dubna 2005.
Proces řízení kvality projektu Jaromír Štůsek
1 14.Postakviziční integrace-jaké kroky se mají učinit po podpisu kupní smlouvy Kateřina Čepeláková, E-72 Šk.rok:2009/2010.
1 Řízení implementace IS a SS* Šablony. 2 Vzorové postupy.
Bezpečnostní politika
Inovace výuky a její implementace v oborech Fakulty bezpečnostního inženýrstvíCZ.1.07/2.2.00/ Se zvyšováním technologické a technické úrovně průmyslu.
ŽIVELNÍ POHROMY A PROVOZNÍ HAVÁRIE Název opory – Direktivy SEVESO, zákon o prevenci závažných havárií a jejich význam Operační program Vzdělávání pro konkurenceschopnost.
Trendy v řešení bezpečnosti informací (aspekty personalistiky) F.S.C. BEZPEČNOSTNÍ PORADENSTVÍ a.s. Tomáš Kubínek
© IHAS 2011 Tento projekt je financovaný z prostředků ESF prostřednictvím Operačního programu Vzdělávání pro konkurenceschopnost a státního rozpočtu ČR.
Personální audit - cesta k efektivitě využívání lidských zdrojů.
PROCESNÍ MODELOVÁNÍ AGEND VEŘEJNÉ SPRÁVY Rámcový návrh projektu.
Stalo se … příběh jednoho „průšvihu“ Ing.Tomáš Boubelík PhDr.Iva Moravcová Mgr.Oldřich Smola.
SIKP – Státní informační a komunikační politika Prezentace – aplikace vybraných zákonů ve společnosti NeXA, s.r.o. Eva Štíbrová Zdeňka Strousková Radka.
Firemní data mimo firmu: z pohledu zákoníku práce JUDr. Josef Donát, LLM, ROWAN LEGAL ISSS 2014, Hradec Králové.
Mezinárodní konference ICT Fórum PERSONALIS 2006 Procesní řízení informační bezpečnosti ve státní správě Ing. Jindřich KODL, CSc. Praha
Operační program Vzdělávání pro konkurenceschopnost Název projektu: Inovace magisterského studijního programu Fakulty ekonomiky a managementu Registrační.
IS jako nástroj moderního personálního managementu Vít Červinka
SAFETY 2017 Význam a zásady fyzické bezpečnosti při ochraně (nejen) utajovaných informací. Hradec Králové duben
Cloud computing v praxi
Systém managementu jakosti
PROJEKT: Hodnocení průmyslových rizik
BEZPEČNOST NA KONTAKTNÍCH MÍSTECH Czech POINT
Budování Integrovaného informačního systému Národního památkového ústavu Petr Volfík, NPÚ ÚP
Městská část Praha 6 Postup příprav GDPR Ing. Jan Holický, MBA
Bezpečnost práce s dokumenty
Sytémová integrace Ing. Jiří Šilhán.
Obecné nařízení o ochraně osobních údajů
Obsah Co je to GIS Segmentace GIS HZS ČR GIS portál HZS ČR
Transkript prezentace:

1 Aplikovaná informatika Aplikovaná informatika Případová studie bezpečnosti IS ZEMÁNEK, Z. - PLUSKAL, D. Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/ ) 1

2 A i 2 Případová studie k bezpečnosti IS – zadání 1. Bezpečností informační politika organizace 2. ISMS - Bezpečností informační politika organizace 3. Doporučení pro řízení informační bezpečnosti Úkoly do samostudia

3 Cíle přednášky 3 1. Charakterizovat bezpečnostní incidenty, jejich význam a řešení 2. bezpečností informační politiku organizace 2. Objasnit bezpečností informační politiku organizace 3. Uvést doporučení pro řízení informační bezpečnosti 3. Uvést doporučení pro řízení informační bezpečnosti

4 Důvody pro bezpečnost informací: Minimalizace nebezpečí úniku a zneužití dat Úspora vynaložených nákladů souvisejících s odstraněním následků bezpečnostních incidentů Dodržení legislativních předpisů Snížení rizika nedostupnosti informací Silná image společnosti a důvěra zákazníků Možnost průběžného sledování a hodnocení dosažené úrovně zabezpečení Pojetí bezpečnosti informací

Klastrové pojetí bezpečnosti Klastrové pojetí informační bezpečnosti organizace je do jisté míry v rozporu uplatňovaným systémovým přístupem Efektivita řízení Nákladové a bezpečnostní synergie BCM BCM - Řízení kontinuity činností ustanovuje strategický a provozní rámec přiměřený potřebám a cílům organizace.

6 Bezpečností informační politika organizace = je soubor zásad a pravidel, s jejichž pomocí organizace chrání svá aktiva, především počítačové sítě a informační systémy, které jsou nejzranitelnější, hned po lidském faktoru... bezpečnostní politika Obecně lze bezpečnostní incident definovat jako narušení bezpečnosti IS/IT a pravidel ustanovených k jeho ochraně (bezpečnostní politika). Zjištěné bezpečnostní incidenty a nedostatky musí být nahlášeny zodpovědným osobám, zaarchivovány, zdokumentovány, prozkoumány a odstraněny s ohledem na příčiny, které je vyvolaly tak, aby mohlo být dosaženo nápravy.

Reakce na nové bezpečnostní potřeby

Jak reagovat ? Otázky, které si v této souvislosti musíme klást: 1. Jak reagovat na změny charakteru bezpečnostních hrozeb? 2. Jak se změny promítnou do praxe bezpečnosti informací ? 3. Jaký je poměr potenciálu „starých osvědčených“ a „nových“ nástrojů“?

„Nové“ priority ve výstavbě bezpečnostního systému organizace HW SW Bezpečnostní systém ochrany informací organizace Lidé Management Výkonní zaměstnanci Ochrana prostředí Ochrana samotných IT Bezpečnost technologie Bezpečnostní vzdělávání Kontrolní mechanismy Bezpečnostní management Organizační a režimová opatření

10 Bezpečností informační politika organizace Porušení bezpečnosti stroje způsobí uživatel buď úmyslně, nebo svou nevědomostí, nedbalostí či neznalostí. Důsledky narušení bezpečnosti stroje mohou být různé s různým stupněm závažnosti - využití napadeného počítače k dalším útokům jako přestupní stanice, získání důvěrných dat a jejich zneužití, úmyslné poškození získaných dat, zneužití identity.

11 Bezpečností informační politika organizace management. Z hlediska bezpečnosti informací se v typické organizaci mezi nejrizikovější faktory řadí personál organizace, obzvláště její management. Statistiky uvádějí, že padesát až osmdesát procent ztrát informací je způsobeno managementem vlastní organizace. D ů vody jsou prosté: management musí mít zajištěn nejširší přístup ke zpracovávaným informacím.

12 Bezpečností informační politika organizace To platí zejména pro rizika porušení d ů věrnosti informací, což je ale jen jedno z hledisek informační bezpečnosti. sociálního inženýrství Personál může být také zranitelný kvůli hrozbám tzv. sociálního inženýrství, kdy útočník prostřednictvím promyšlené manipulace zneužívá přirozené důvěřivosti člověka. hardwarových prostředků V některých typech organizací mohou být také vysoká rizika v oblasti hardwarových prostředků (zastaralé UPS, absence firewallu…).

Bezpečností informační politika organizace Bezpečnostní politika musí být kontinuálně aktualizována v souladu se změnami prostředí a zahrnuje: politiku přípustného užívání aktiv, objasnění způsobu uskutečňování a vynucování bezpečnostních opatření, specifikaci školení svých zaměstnanců v oblasti ochrany aktiv, proceduru vyhodnocení účinnosti politiky vedoucí k provedení její inovace.

14 Bezpečností informační politika organizace objektivních Rozsah a struktura řízení informační bezpečnosti jsou závislé na řadě objektivních skutečností: - velikosti organizace, - geografickém umístění, - rozsahu a významu provozovaných IC Systémů, - použité informační a komunikační technologii - apod. …

15 Bezpečností informační politika organizace nedá se použít univerzální Toto je hlavní důvod, proč se aplikuje nejlepší praxe (normy, standardy a doporučení) pro zavedení informační bezpečnosti a nedá se použít univerzální šablona. Obecně je třeba při budování informační bezpečnosti vycházet z analýzy výchozího stavu a z analýzy rizik Obecně je třeba při budování informační bezpečnosti vycházet z analýzy výchozího stavu a z analýzy rizik.

16 Bezpečností informační politika organizace řízený proces Z důvodu zajištění dostatečné efektivity informační bezpečnosti se musí jednat o řízený proces vyvážený ve všech oblastech, který má podporu vedení a respektuje kulturu organizace. být seznámen s organizací a pravidly Každý uživatel informačního a komunikačního systému musí být seznámen s organizací a pravidly je nutná prevence informační bezpečnosti (se směrnicemi), a aby pochopil účel bezpečnostních opatření, je nutná prevence - soustavná osvěta a vzdělávání v oblasti informační bezpečnosti.

Obecné typy bezpečnostní politiky promiskuitní promiskuitní bezpečnostní politika, není ani vlastně bezpečnostní politikou, ve svých pravidlech nikoho neomezuje a povoluje subjektům realizovat vše, i co by neměli dělat, liberální liberální - ve svých pravidlech umožňuje realizovat vše, až na výjimky, které jsou explicitně vyjmenované, opatrná opatrná - ve svých pravidlech zakazuje vše s výjimkou toho, co je explicitně povoleno (viz OKIS UO), paranoidní paranoidní - zakazuje dělat vše, co je potenciálně nebezpečné, tedy i to co by nemuselo být explicitně zakázáno.

18 ISMS - Bezpečností informační politika organizace norem ISO/IEC a V poslední dob ě se stále častěji hovoří o systému managementu informační bezpečnosti (tzv. ISMS) podle norem ISO/IEC a Tak lze doložit správný postup při vypracování plán ů, které navazují a analýzu rizik provedenou dle standardů, které tyto normy upravují. ISMS ISMS (anglicky: information security management system) je tedy část celkového systému managementu organizace, která se orientuje na ř ízení rizik v oblasti bezpe č nosti informací.

19 Účelem ISMS Účelem ISMS je efektivní a účinná bezpečná správa duševního majetku, a to jak vlastního, tak i majetku, který organizaci svěřuje občan (tj. informací). aktiva Informace též představují aktiva - určitou hodnotu, se kterou stojí a padá důvěra občana, a proto je nutno ji chránit. zranitelnosti výslednou míru rizik. Aby ochrana ohodnocených informací byla přiměřená, je třeba dále pojmenovat a ohodnotit hrozby, které na aktiva působí, zranitelnosti (slabiny našich aktiv) a stanovit výslednou míru rizik. ISMS - Bezpečností informační politika organizace

20 ISMS - Bezpečností informační politika organizace + Chování uživatele IS - operátora

21 Doporučení pro řízení informační bezpečnosti Bezpečnostní politika pokrývá tyto oblasti informační bezpečnosti: a ) Organizaci a řízení bezpečnosti; b) Řízení aktiv; c) Personální bezpečnost; d) Fyzickou bezpečnost a bezpečnost prostředí; e) Řízení komunikací a provozu; f) Řízení přístupu; g) Pořízení, vývoj a údržba informačních systémů; h) Správa incidentů informační bezpečnosti; i) Řízení kontinuity činností organizace; j)Soulad s požadavky. k)Chování uživatele IS - operátora

22 Rozdělení a provázanost rolí

Podle předchozího schéma jsou realizační týmy s rolemi: Manažer Administrátor Projektant Operátor - z nich sestavíte realizační tým a budete řešit projekt s názvem: Případová studie bezpečnosti informačních systémů

Rozdělení a provázanost rolí Manažer ISMS – jeho úloha Manažer ISMS – jeho úloha Postup vytvoření a zavedení ISMS Stanovení rozsahu systému, Stanovení rozsahu systému, zpracování analýzy rizik, zpracování analýzy rizik, formulace bezpečnostní politiky, formulace bezpečnostní politiky, formulace bezpečnostních standardů, formulace bezpečnostních standardů, monitorování a hodnocení ISMS, monitorování a hodnocení ISMS, monitorování systému, monitorování systému, přezkoumání řízení, přezkoumání řízení, řešení nápravných a preventivních opatření řešení nápravných a preventivních opatření

Rozdělení a provázanost rolí Administrátor ISMS – jeho úloha Administrátor ISMS – jeho úloha Popis Informačního systému a jeho struktura (řízení) – technické prostředky, programové vybavení, uložení, oběh a zálohování dat, komunikace, provoz, provozní doby, help-desk, krizová řešení. Popis Informačního systému a jeho struktura (řízení) – technické prostředky, programové vybavení, uložení, oběh a zálohování dat, komunikace, provoz, provozní doby, help-desk, krizová řešení. Práva a povinnosti uživatelů informačních systémů – uživatel (kategorie dle přístupových práv), externí uživatel, správce lokality, uživatelské účty a jejich typy, podmínky zřízení a zrušení, žádost o nový software, dokumentace instalace či reinstalace, vyřazení software, pravidelné kontroly. Práva a povinnosti uživatelů informačních systémů – uživatel (kategorie dle přístupových práv), externí uživatel, správce lokality, uživatelské účty a jejich typy, podmínky zřízení a zrušení, žádost o nový software, dokumentace instalace či reinstalace, vyřazení software, pravidelné kontroly. Práva a povinnosti správců informačních systémů – oddělení informatiky (práva a povinnosti, úloha ve schvalovacím a přidělovacím procesu, způsob komunikace, dokumentování rozhodnutí, instalací, archivace dokladů, centrální evidence hardwaru a softwaru, opakování softwarových auditů, reakce na nepovolené chování uživatelů, instalační protokoly, komunikace s ekonomickým a účetním oddělením) správce aplikací, databází, hardware, financování. Práva a povinnosti správců informačních systémů – oddělení informatiky (práva a povinnosti, úloha ve schvalovacím a přidělovacím procesu, způsob komunikace, dokumentování rozhodnutí, instalací, archivace dokladů, centrální evidence hardwaru a softwaru, opakování softwarových auditů, reakce na nepovolené chování uživatelů, instalační protokoly, komunikace s ekonomickým a účetním oddělením) správce aplikací, databází, hardware, financování. Zabezpečení a ochrana informačních systémů – organizační opatření, správa uživatelských účtů, ochrana před viry a nežádoucími instalacemi, technická opatření. Zabezpečení a ochrana informačních systémů – organizační opatření, správa uživatelských účtů, ochrana před viry a nežádoucími instalacemi, technická opatření.

Rozdělení a provázanost rolí Realizovat hlavní požadavky na ISMS Zpřístupnit aplikaci přes jednotné - intuitivně ovládané - uživatelské prostředí: – Přístupné přes webový prohlížeč, bez zvláštních nároků na klientské stanice – Podporující vizualizaci prostorových dat Vytvořit flexibilní procesně orientovaný systém s automatizovanou podporou postupů (workflow) – Pracovní postupy jednoznačně budou určeny typem a způsobem nakládání s daty – Možnost snadné modifikace a rozšiřování workflow Systém integrovat s dalšími spolupracujícími systémy poskytujícími služby v oblasti: – Správy dokumentů – Spolupracujících registrů Navrhnout a realizovat systém: – Centralizovaný, vysoce dostupný, bezpečný – Podporující minimálně 50 uživatelů z ústředí a územních a odloučených pracovišť lokalizovaných po celé ČR Zjemnění a finalizace návrhu pomocí prototypů Aktivní účast klíčových uživatelů při návrhu systému a jeho ověřování – Rozsáhlé systémově integrační a zátěžové testování Příprava uživatelské dokumentace - „Standardní“ uživatelské manuály, vzorové příklady, metodické postupy a FAQ – Rozsáhlé školení Několik kol plné migrace a ověření její správnosti – Příprava na produktivní provoz a jeho zahájení Detailní plán –těsné zapojení expertních uživatelů a zástupců vedení do jeho tvorby a implementace v organizaci Projektant ISMS – jeho úloha

Rozdělení a provázanost rolí Informační systémy mají pokrýt oprávněné a zabezpečené informační požadavky uživatelů – operátorů. Informační systémy mají pokrýt oprávněné a zabezpečené informační požadavky uživatelů – operátorů. Je nutné v nich obsáhnout z pohledu operátora (toho koho se to týká): Je nutné v nich obsáhnout z pohledu operátora (toho koho se to týká): Služby poskytované IS Služby poskytované IS Povolená a zakázaná zařízení sítě IS Povolená a zakázaná zařízení sítě IS Podmínky nastavení a ochrana uživatelských účtů Podmínky nastavení a ochrana uživatelských účtů Zásady používání hesel Zásady používání hesel Odpovědnosti (povinnosti) uživatele a jeho práva Odpovědnosti (povinnosti) uživatele a jeho práva Používání programového vybavení Používání programového vybavení Evidence a správa programového vybavení Evidence a správa programového vybavení Nutná opatření bezpečnosti (administrativní, fyzické, počítačové…) Nutná opatření bezpečnosti (administrativní, fyzické, počítačové…) Uživatel ISMS – jeho úloha Realizovat hlavní požadavky na ISMS

Faktory úspěchu a rizika projektu Vysoká komplexita řešení ISMS se dotýká většiny klíčových procesů a tyto procesy jsou relativně složité Vysoké nároky na analýzu a testování – Úzká provázanost s dalšími projekty IS Úspěch ISMS je podmíněn úspěchem a provázaností dalších IS a naopak Závislost na náročných úpravách rozhraní na straně navazujících IS – Většinou vysoké nároky na „řízení změny“ při přechodu ze stávajícího zpracování na nový systém Široká skupina uživatelů s různým stupněm schopnosti se s novým systémem seznámit před uvedením do provozu a přizpůsobit mu své pracovní postupy Závěr - Rizika projektu

29 Úkoly do samostudia 29 Charakterizovat bezpečnostní incidenty, jejich význam a řešení bezpečností informační politiku organizace Objasnit bezpečností informační politiku organizace Uvést doporučení pro řízení informační bezpečnosti z pohledu role Uvést doporučení pro řízení informační bezpečnosti z pohledu role