1 Aplikovaná informatika Aplikovaná informatika Případová studie bezpečnosti IS – zadání a vypracování ZEMÁNEK, Z. - PLUSKAL, D. Operační program Vzdělávání.

Slides:



Advertisements
Podobné prezentace
Koncepce organizace posudkové služby JUDr. Jiří Veselý, Ph.D. ředitel odboru výkonu posudkové služby MPSV.
Advertisements

Vypracováno kolektivem autorů České společnosti pro technickou normalizaci Úřad pro technickou normalizaci, metrologii a státní zkušebnictví
Strategické řízení školy s využitím sebehodnocení školy dle modelu CAF RNDr. Hana Žufanová.
Založení firmy postup. Postup založení firmy 1) Výběr oboru podnikání a vymezení předmětu živnosti 2) Volba právní formy podnikání 3) Určení názvu a umístění.
BEZPEČNOSTNÍ TECHNOLOGIE I Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/ )
Pilotní projekt základního registru územní identifikace a nemovitostí („PP ZRÚIN“) Vít Suchánek, ČÚZK.
Projekt Informační a vzdělávací portál Libereckého kraje I CZ.1.07/1.1.00/ I Školení pro uživatele portálu.
Vypracováno kolektivem autorů České společnosti pro technickou normalizaci Úřad pro technickou normalizaci, metrologii a státní zkušebnictví
BEZPEČNOST JEŘÁBOVÉ DOPRAVY Při konstrukci a provozu jeřábů musí být přísně dbáno na zásady bezpečnosti, aby nebyl ohrožen život a zdraví osob a zabránilo.
Centrální registr zbraní – změna právní úpravy. Harmonogram novely červenec 2012 rozeslání novely do meziresortního připomínkového řízení předložení.
Využití informačních technologií při řízení obchodního řetězce Interspar © Ing. Jan Weiser.
© IHAS 2011 Tento projekt je financovaný z prostředků ESF prostřednictvím Operačního programu Vzdělávání pro konkurenceschopnost a státního rozpočtu ČR.
Zákon o kybernetické bezpečnosti č. 181/2014 Sb. Presentation title.
Procesy ve veřejné správě Ivo Vašíček Proces veřejné správy Získávání zdrojů dané, poplatky, pokuty Vnitřní a vnější bezpečnost Správa zdrojů Údržba.
 2006  Ministerstvo průmyslu a obchodu Příprava aplikace zákona č. 179/2006 sb. o ověřování a uznávání výsledků dalšího vzdělávání do působnosti Ministerstva.
Standardy kvality sociálních služeb. soubory měřitelných a ověřitelných kritérií, které popisují, jak má vypadat kvalitní sociální služba. Jsou použitelné.
Operační program Vzdělávání pro konkurenceschopnost Název projektu: Inovace magisterského studijního programu Fakulty ekonomiky a managementu Registrační.
Úvod k přednáškám o Jištění kvality technologických procesů VŠCHT pd v
Městský úřad Šumperk Implementace modelu CAF
Systém správy dokumentace akreditované zkušební laboratoře Bc. Jan Randl, 4912.
Seminář na MZ Bezpečnost zdravotních služeb - současná priorita MZ MUDr. Markéta Hellerová Ministerstvo zdravotnictví.
Komise pro podmíněné propuštění (KPP) Společný projekt PMS CR, VS ČR a Českého helsinského výboru.
Plánovací část projektu Cíl projektu - vychází z řešení z prognostické části, - odpovídá na otázku, čeho má být dosaženo? - představuje slovní popis účelu.
Krizové štáby. Zákon č. 240/2000 Sb., § 14 (1) Hejtman zajišťuje připravenost kraje na řešení krizových situací; ostatní orgány kraje se na této připravenosti.
Principy Základních registrů Ing. Ondřej Felix, CSc.
Vnitřní předpisy účetní jednotky Porada odboru veřejné správy, dozoru a kontroly Ing. Tomáš Sluka Ministerstvo financí odbor Regulace a metodika účetnictví.
BEZPEČNOST NA KONTAKTNÍCH MÍSTECH Czech POINT. 2 Administrativní bezpečnost Režimová bezpečnost Ochrana spisové agendy Automatizované prostředky spisové.
Vyhláška č. 326/2006 Sb., o atestačním řízení pro elektronické nástroje Mgr. Martin Plíšek.
PROJEKT ISTI INFORMAČNÍ SYSTÉM TECHNICKÉ INFRASTRUKTURY VEŘEJNÉ SPRÁVY
Revoluce jménem GDPR Eduard Pavlar Risk Assurance.
Akreditační standardy SAK ČR pro nemocnice - I
Stávající systém kontroly při těžbě dřeva
Mgr. Jiří Starý Odbor strategického rozvoje
Hodnocení kvality vzdělávání škol a školských zařízení zřizovaných Libereckým krajem EDUCA 2011 MY JOBS Porada ředitelů Liberec
Zabezpečení personálu a infrastruktury logistiky
EVALUACE v OP RLZ PaedDr. Jaromír Krejčí Mgr. Jana Ostrýtová MŠMT.
Název opory – Právní předpisy – požární ochrana
Číslo projektu CZ.1.07/1.5.00/ Číslo materiálu
eRecept – komunikace se základními registry
Porada vedoucích Úřadů územního plánovaní
Workshop projektu systémová podpora sociální práce v obcích na téma:
Oblast: Dobré životní podmínky zvířat
Schvalovací proces + hodnoticí kritéria
1. ročník oboru Mechanik opravář motorových vozidel
Schvalovací proces + hodnoticí kritéria
NEJČASTĚJŠÍ NEDOSTATKY V ŽÁDOSTECH O GP
SOUSTAVA CHRÁNĚNÝCH ÚZEMÍ EVROPSKÉHO VÝZNAMU
MVdr.Vratislav Krupka.
Zpráva o uplatňování územního plánu
Základy pracovního práva a sociálního zabezpečení v ES
Projekt realizace referenčního rozhraní
GDPR aneb to chceme.
Národní konference GDPR 2017, Praha, 23. listopadu 2017
Aktuální právní úprava činnosti školy a nové úkoly zástupce ředitele
GDPR: ochrana osobních údajů
Živnostenské podnikání (správně-právní režim) III. část
Změny právní úpravy ochrany přírody a krajiny
Technická Evidence Zdravotnických Prostředků 1
Centralizované rozvojové projekty 2017
GDPR v sociálních službách - metodika implementace
Projektové řízení výstavby podle PMBOK 2. Řízení rozsahu
Číslo projektu Číslo materiálu název školy Autor Tematický celek
Národní rozvojový program mobility pro všechny (NRPM)
Hledáme klíč k právům dětí
Hodnotící zpráva k výsledkům kontrol výkonu přenesené a samostatné působnosti svěřené orgánům obcí, krajů a hlavního města Prahy za léta 2014–2016.
Standardy činností sociální práce ve veřejné správě příspěvek Hradec Králové Praha Systémová podpora sociální práce v obcích reg. č. CZ /0.0/0.0/15_017/ ,
Dostupné vzdělání pro všechny kdo chtějí znát a umět víc…
Seminář AMG, Písek 2018 GDPR.
Obecné nařízení o ochraně osobních údajů
Informační systém základních registrů
Transkript prezentace:

1 Aplikovaná informatika Aplikovaná informatika Případová studie bezpečnosti IS – zadání a vypracování ZEMÁNEK, Z. - PLUSKAL, D. Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/ ) 1

2 A i 2 Případová studie k bezpečnosti IS – zadání a vypracování 1. Rozdělení a provázanost rolí ISMS 1. Rozdělení a provázanost rolí ISMS 2. Zadání zápočtového projektu Zp1 2. Zadání zápočtového projektu Zp1 3. Doporučení pro řízení informační bezpečnosti 3. Doporučení pro řízení informační bezpečnosti Úkoly do samostudia

3 Cíle cvičení 3 1. Charakterizovat rozdělení a provázanost rolí 1. Charakterizovat rozdělení a provázanost rolí 2. Provést zadání zápočtového projektu Zp1 2. Provést zadání zápočtového projektu Zp1 3. Nastínit doporučení pro řízení informační bezpečnosti 3. Nastínit doporučení pro řízení informační bezpečnosti

4 Rozdělení a provázanost rolí ISMS

Zadání zápočtového projektu Zp1 Podle předchozího schéma vytvoříte čtyřčlenné realizační týmy s rolemi: Manažer Administrátor Projektant Operátor Dále projdete uvedená doporučení vztahující se k vaší roli a z nich sestavíte projekt s názvem: Případová studie bezpečnosti informačních systémů

Rozdělení a provázanost rolí Manažer ISMS – jeho úloha Manažer ISMS – jeho úloha Postup vytvoření a zavedení ISMS Stanovení rozsahu systému, Stanovení rozsahu systému, zpracování analýzy rizik, zpracování analýzy rizik, formulace bezpečnostní politiky, formulace bezpečnostní politiky, formulace bezpečnostních standardů, formulace bezpečnostních standardů, monitorování a hodnocení ISMS, monitorování a hodnocení ISMS, monitorování systému, monitorování systému, přezkoumání řízení, přezkoumání řízení, řešení nápravných a preventivních opatření řešení nápravných a preventivních opatření

Rozdělení a provázanost rolí Administrátor ISMS – jeho úloha Administrátor ISMS – jeho úloha Popis Informačního systému a jeho struktura (řízení) – technické prostředky, programové vybavení, uložení, oběh a zálohování dat, komunikace, provoz, provozní doby, help-desk, krizová řešení. Popis Informačního systému a jeho struktura (řízení) – technické prostředky, programové vybavení, uložení, oběh a zálohování dat, komunikace, provoz, provozní doby, help-desk, krizová řešení. Práva a povinnosti uživatelů informačních systémů – uživatel (kategorie dle přístupových práv), externí uživatel, správce lokality, uživatelské účty a jejich typy, podmínky zřízení a zrušení, žádost o nový software, dokumentace instalace či reinstalace, vyřazení software, pravidelné kontroly. Práva a povinnosti uživatelů informačních systémů – uživatel (kategorie dle přístupových práv), externí uživatel, správce lokality, uživatelské účty a jejich typy, podmínky zřízení a zrušení, žádost o nový software, dokumentace instalace či reinstalace, vyřazení software, pravidelné kontroly. Práva a povinnosti správců informačních systémů – oddělení informatiky (práva a povinnosti, úloha ve schvalovacím a přidělovacím procesu, způsob komunikace, dokumentování rozhodnutí, instalací, archivace dokladů, centrální evidence hardwaru a softwaru, opakování softwarových auditů, reakce na nepovolené chování uživatelů, instalační protokoly, komunikace s ekonomickým a účetním oddělením) správce aplikací, databází, hardware, financování. Práva a povinnosti správců informačních systémů – oddělení informatiky (práva a povinnosti, úloha ve schvalovacím a přidělovacím procesu, způsob komunikace, dokumentování rozhodnutí, instalací, archivace dokladů, centrální evidence hardwaru a softwaru, opakování softwarových auditů, reakce na nepovolené chování uživatelů, instalační protokoly, komunikace s ekonomickým a účetním oddělením) správce aplikací, databází, hardware, financování. Zabezpečení a ochrana informačních systémů – organizační opatření, správa uživatelských účtů, ochrana před viry a nežádoucími instalacemi, technická opatření. Zabezpečení a ochrana informačních systémů – organizační opatření, správa uživatelských účtů, ochrana před viry a nežádoucími instalacemi, technická opatření.

Rozdělení a provázanost rolí Realizovat hlavní požadavky na ISMS Zpřístupnit aplikaci přes jednotné - intuitivně ovládané - uživatelské prostředí: – Přístupné přes webový prohlížeč, bez zvláštních nároků na klientské stanice – Podporující vizualizaci prostorových dat Vytvořit flexibilní procesně orientovaný systém s automatizovanou podporou postupů (workflow) – Pracovní postupy jednoznačně budou určeny typem a způsobem nakládání s daty – Možnost snadné modifikace a rozšiřování workflow Systém integrovat s dalšími spolupracujícími systémy poskytujícími služby v oblasti: – Správy dokumentů – Spolupracujících registrů Navrhnout a realizovat systém: – Centralizovaný, vysoce dostupný, bezpečný – Podporující minimálně 50 uživatelů z ústředí a územních a odloučených pracovišť lokalizovaných po celé ČR Zjemnění a finalizace návrhu pomocí prototypů Aktivní účast klíčových uživatelů při návrhu systému a jeho ověřování – Rozsáhlé systémově integrační a zátěžové testování Příprava uživatelské dokumentace - „Standardní“ uživatelské manuály, vzorové příklady, metodické postupy a FAQ – Rozsáhlé školení Několik kol plné migrace a ověření její správnosti – Příprava na produktivní provoz a jeho zahájení Detailní plán –těsné zapojení expertních uživatelů a zástupců vedení do jeho tvorby a implementace v organizaci Projektant ISMS – jeho úloha

Rozdělení a provázanost rolí Informační systémy mají pokrýt oprávněné a zabezpečené informační požadavky uživatelů – operátorů. Informační systémy mají pokrýt oprávněné a zabezpečené informační požadavky uživatelů – operátorů. Je nutné v nich obsáhnout z pohledu operátora (toho koho se to týká): Je nutné v nich obsáhnout z pohledu operátora (toho koho se to týká): Služby poskytované IS Služby poskytované IS Povolená a zakázaná zařízení sítě IS Povolená a zakázaná zařízení sítě IS Podmínky nastavení a ochrana uživatelských účtů Podmínky nastavení a ochrana uživatelských účtů Zásady používání hesel Zásady používání hesel Odpovědnosti (povinnosti) uživatele a jeho práva Odpovědnosti (povinnosti) uživatele a jeho práva Používání programového vybavení Používání programového vybavení Evidence a správa programového vybavení Evidence a správa programového vybavení Nutná opatření bezpečnosti (administrativní, fyzické, počítačové…) Nutná opatření bezpečnosti (administrativní, fyzické, počítačové…) Uživatel ISMS – jeho úloha Realizovat hlavní požadavky na ISMS

10 Doporučení pro řízení informační bezpečnosti Bezpečnostní politika pokrývá tyto oblasti (úkoly) informační bezpečnosti: a ) Organizaci a řízení bezpečnosti (rizik); b) Řízení aktiv; c) Personální bezpečnost; d) Fyzickou bezpečnost a bezpečnost prostředí; e) Řízení komunikací a provozu; f) Řízení přístupu; g) Pořízení, vývoj a údržba informačních systémů; h) Správa incidentů informační bezpečnosti; i) Řízení kontinuity činností organizace; j) Soulad s administrativním opatřením ; k) Pořízení, vývoj a údržba. hování uživatele IS - operátora l) Chování uživatele IS - operátora

11 1) Mít bezpečnostní politiku: Bezpečnostní politika obsahuje cíl informační bezpečnosti a způsob jeho naplnění. Dále politika stručně uvádí návaznost budovaného systému řízení informační bezpečnosti na cíle organizace a regulatorní požadavky norem a legislativy. Důležitou součást politiky tvoří též určení základních odpovědností za budovaný systém řízení informační bezpečnosti a ustavení kritérií vůči kterým budou hodnocena rizika. Doporučení pro řízení informační bezpečnosti a) Organizaci a řízení bezpečnosti

12 2) Řídit informační bezpečnost Úkolem řízení informační bezpečnosti je zavést pravidla a postupy pro řízení informační bezpečnosti organizace. Pro řízení informační bezpečnosti v rámci organizace musí být jednoznačně: organizace řízení, - popsána organizace řízení, odpovědnost - odpovědnost za informační bezpečnost vedoucích pracovníků všech stupňů, odborných orgánů a rolí v systému informační bezpečnosti. Doporučení pro řízení informační bezpečnosti a) Organizaci a řízení bezpečnosti

13 Doporučení pro řízení informační bezpečnosti a) Organizaci a řízení bezpečnosti 3) Zavést řízení rizik jako součást řízení informační bezpečnosti Řízení rizik tvoří proces, který zahrnuje soustavné hodnocení rizik a jejich zvládání. Součástí procesu je identifikace hrozeb a z nich plynoucích rizik. Řízení rizik se musí stát nedílnou součástí celkového řízení informační bezpečnosti. To znamená, že rizika jsou monitorována a vyhodnocována, jsou navržena protiopatření na minimalizaci rizik a zbytková rizika jsou akceptovaná To znamená, že rizika jsou monitorována a vyhodnocována, jsou navržena protiopatření na minimalizaci rizik a zbytková rizika jsou akceptovaná.

14 4) Realizovat řízení aktiv identifikace, realizovat identifikaci a ohodnocení aktiv Úkolem řízení aktiv je určit způsob identifikace, realizovat identifikaci a ohodnocení aktiv organizace. veden registr aktiv Aby mohla být důsledně zajištěna ochrana aktiv, měl by být veden registr aktiv informačního a komunikačního systému, který je důležitý i z hlediska řízení rizik. stanoven vlastník tohoto aktiva, který je odpovědný Pro každé významné aktivum by měl být stanoven vlastník tohoto aktiva, který je odpovědný za stanovení přiměřených opatření na ochranu tohoto aktiva v souladu s vydanými pravidly v rámci organizace. Doporučení pro řízení informační bezpečnosti b) Řízení aktiv

15 5) Věnovat dostatečnou pozornost personální bezpečnosti oblast řízení lidských zdrojů Úkolem personální bezpečnosti je určit a zavést bezpečnostní pravidla a postupy pro oblast řízení lidských zdrojů. Lidé a jejich konání Lidé a jejich konání představují velkou hrozbu pro informační bezpečnost, ať ve formě prostých lidských chyb, nebo úmyslného jednání. snížit rizika spojená s lidským jednáním po celou dobu trvání pracovního poměru Řešení personální bezpečnosti má snížit rizika spojená s lidským jednáním a měla by být zahrnuta v celém procesu řízení lidských zdrojů od přijímacího řízení po celou dobu trvání pracovního poměru i po jeho ukončení. Doporučení pro řízení informační bezpečnosti c) Personální bezpečnost

16 6) Řešit fyzickou bezpečnost Předmětem je fyzická ochrana aktiv Předmětem je fyzická ochrana aktiv. popsat opatření a chování, Je účelné zavést bezpečnostní zóny (perimetry), popsat opatření a chování, která jsou v těchto zónách uplatňována (tzv. režimové směrnice). v celém životním cyklu (pořízení – likvidace) Dále je potřebné řešit bezpečnost jednotlivých zařízení a prostředků v celém životním cyklu (pořízení – likvidace) jak v rámci objektu, tak i mimo (např. přenosná výpočetní technika a média). Doporučení pro řízení informační bezpečnosti d) Fyzickou bezpečnost a bezpečnost prostředí

17 7A) Řídit komunikace a provoz Úkolem řízení komunikace a provozu je definovat základní rámec bezpečného řízení komunikace a provozu. Bezpečný provoz a komunikace informačních a komunikačních technologií by měly být popsány v provozní a operativní dokumentaci: Provozní postupy; Postupy pro řešení bezpečnostních incidentů; Provozní a technické deníky; Karty zařízení; Kniha bezpečnostních incidentů a nedostatků. Doporučení pro řízení informační bezpečnosti e) Řízení komunikací a provozu

18 7B) Řídit komunikace a provoz Změny podléhat řízenému procesu Změny prováděné v prostředcích pro zpracování informací musí podléhat řízenému procesu. respektovat princip oddělení Měl by se respektovat princip oddělení povinností a oddělení vývoje od provozu. zavedené provozní a technické deníky pro plánování obnovy Vhodným způsobem zavedené provozní a technické deníky slouží jako podklad pro plánování obnovy a výpočetní kapacity pro nové informační a komunikační systémy. Do provozní bezpečnosti patří: - ochrana proti škodlivým programům - ochrana proti škodlivým programům, - správa integrity a dostupnosti dat, - správa komunikačních sítí, směrnice nakládání s nosiči informací (médii), - výměna (přenos) informací. Doporučení pro řízení informační bezpečnosti e) Řízení komunikací a provozu

19 8) Řídit přístup k systémům fáze životního cyklu přístupu uživatele Účelem tohoto procesu, zahrnujícím všechny fáze životního cyklu přístupu uživatele (registrace - změna - zrušení), je zabránit neoprávněnému přístupu k informačnímu a komunikačnímu systému (tzv.“mrtvé duše“). jeho pracovních povinností Přístup k informacím musí být jasně stanoven pro každého uživatele na základě jeho pracovních povinností (na základě role, kterou má v informačním systému) podle pravidel a provozních požadavků (pravidlo „potřeba znát“). privilegovaným uživatelům Zvýšenou pozornost je nutné věnovat tzv. privilegovaným uživatelům, správě hesel a kontrole přístupových práv, přístupu k síťovým prostředkům, operačním a aplikačním systémům, přenosné výpočetní technice a soustavnému monitorování celého systému. uživatel musí znát své povinnosti a odpovědnosti Každý uživatel musí znát své povinnosti a odpovědnosti spojené s přístupem k informačním a komunikačním systémům. Doporučení pro řízení informační bezpečnosti f) Řízení přístupu

20 9) Řešit bezpečnostní incidenty a nedostatky Úkolem správy incidentů včasnou nápravu Úkolem správy incidentů informační bezpečnosti je zajistit, aby události související s informační bezpečností a slabiny související s informačními systémy byly komunikovány způsobem, který umožní včasnou nápravu. bezpečnostní incidenty Zjištěné bezpečnostní incidenty a nedostatky musí být dokumentovány a vyšetřeny s ohledem na příčiny, které je vyvolaly, aby mohlo být dosaženo nápravy. Doporučení pro řízení informační bezpečnosti h) Správa incidentů informační bezpečnosti

21 10) Řídit správu kontinuity Úkolem řízení kontinuity chránit organizaci před následky Úkolem řízení kontinuity činností organizace je bránit přerušení činnosti organizace a chránit organizaci před následky závažných chyb a katastrof nebo tyto následky minimalizovat. Řízení kontinuitypřípravu adekvátní reakce Řízení kontinuity tvoří systém opatření zaměřených na přípravu adekvátní reakce v případě ohrožení zásadních činností organizace. Řízení kontinuity Řízení kontinuity zahrnuje systém dokumentace, testování, revizí a distribuce navržených opatření spolu s přidělením odpovídajících pravomocí. Pro zajištění kontinuity Pro zajištění kontinuity (minimalizaci výpadků) hlavních činností organizace je nutné zavést řízený proces vytvořením plánů postupů, jejich údržby, tyto plány pravidelně testovat a na základě výsledků testů plány aktualizovat (přehodnocovat). Doporučení pro řízení informační bezpečnosti i) Řízení kontinuity činností organizace

22 11) Zajistit soulad se standardy a právními normami Úkolem zajištění souladu s právními a regulatorními požadavky je vyvarovat se porušení norem trestního, obchodního nebo občanského práva, zákonných nebo smluvních povinností a bezpečnostních požadavků při zavádění bezpečnostních a technologických opatření v rámci organizace. Je nutné zajistit soulad s legislativními předpisy (zákonné a podzákonné normy) a ostatními závaznými dokumenty, čehož docílíme jejich zdokumentováním a provedením analýzy požadavků z nich vyplývajících. Doporučení pro řízení informační bezpečnosti j) Soulad s administrativním opatřením

23 12) Věnovat dostatečnou pozornost pořízení, vývoji a údržbě řízení životního cyklu prostředků a systémů Úkolem při pořízení, vývoji a údržbě informačních systémů je řízení životního cyklu prostředků a systémů pro zpracování informací organizace v souladu s jejími bezpečnostními požadavky a potřebami. bezpečnost zahrnuta již ve fázi specifikace požadavků Při vývoji a údržbě infrastruktury a aplikačního vybavení musí být bezpečnost zahrnuta již ve fázi specifikace požadavků. Pozornost musí být věnována: - kryptografickým opatřením, - systémovým souborům, - procesům vývoje a údržby. Doporučení pro řízení informační bezpečnosti k) Pořízení, vývoj a údržba

24 13) Směrnice podle představ a akceptace operátora Doporučení pro řízení informační bezpečnosti l – Chování uživatele IS - operátora Informační systémy mají pokrýt oprávněné informační požadavky. Je nutné v nich obsáhnout z pohledu operátora (toho koho se to týká): Služby poskytované IS Služby poskytované IS Povolená a zakázaná zařízení sítě IS Povolená a zakázaná zařízení sítě IS Podmínky nastavení a ochrana uživatelských účtů Podmínky nastavení a ochrana uživatelských účtů Zásady používání hesel Zásady používání hesel Odpovědnosti (povinnosti) uživatele a jeho práva Odpovědnosti (povinnosti) uživatele a jeho práva Používání programového vybavení Používání programového vybavení Evidence a správa programového vybavení Evidence a správa programového vybavení Nutná opatření bezpečnosti (administrativní, fyzické, počítačové…) Nutná opatření bezpečnosti (administrativní, fyzické, počítačové…)

25 14) Zajistit soulad se standardy a právními normami Základní právní normy a normativy. Úkolem zajištění souladu s právními a regulatorními požadavky je vyvarovat se porušení norem trestního, obchodního nebo občanského práva, zákonných nebo smluvních povinností a bezpečnostních požadavků při zavádění bezpečnostních a technologických opatření v rámci organizace. Je nutné zajistit soulad s legislativními předpisy (zákonné a podzákonné normy) a ostatními závaznými dokumenty, čehož docílíme jejich zdokumentováním a provedením analýzy požadavků z nich vyplývajících. Doporučení pro řízení informační bezpečnosti l – Chování uživatele IS - operátora

26 Úkoly do samostudia 26 Charakterizovat rozdělení a provázanost rolí ISMS Pracovat na zadání zápočtového projektu Zp1 Prostudovat doporučení pro řízení informační bezpečnosti