Strategie informační bezpečnosti

Slides:



Advertisements
Podobné prezentace
Základy správních činností
Advertisements

Integrovaný systém kvality v dalším profesním vzdělávání KVALITA V DALŠÍM VZDĚLÁVÁNÍ Liberec,
Podívejme se nejen na mobilní bezpečnost v širším kontextu Michal Rada Iniciativa Informatiky pro Občany.
KONTROLA zpracovala: Ing. Jaroslava Teuberová Náchod, dne
PROJEKTOVÉ ŘÍZENÍ. Organizace projektu  Jedná se o optimální uspořádání lidí, věcí a nehmotných složek aktivit do struktur  Jednotlivé složky se uspořádají.
Nabídka personálních služeb
11 Procesy a procesní řízení 22 Další charakteristiky procesu má svého vlastníka (osoba odpovídající za zlepšování procesu) má svého zákazníka (interního.
NĚKTERÉ ZKUŠENOSTI ZE ZAVÁDĚNÍ ISO 27001
Význam informací v podnikání
Tento produkt je spolufinancován Evropským sociálním fondem a státním rozpočtem České republiky Právo na informace o životním prostředí.
Palatinum Excellence Software na řízení firmy. 1.Proč Software Excellence 2.Představení Software Excellence 3.Jak zavést do praxe Obsah Prezentace.
Město Šlapanice průkopník moderního řízení ve veřejné správě 20. února Národní konference kvality ve veřejné správě.
7. zasedání pracovní skupiny interních auditorů kraje Vysočina
Management kontinuity činností organizace
Ochrana obsahu ve virtuálním prostředí JUDR. TOMÁŠ NIELSEN, ROWAN LEGAL TINF 2010, Praha, KCP.
Projekt zavádění jednotné bezpečnostní politiky v prostředí VZP ČR
Hodnocení, realizace a kontrolní etapa. Hodnotí se tři skupiny kriterií: A)Prospěšnost – žádoucnost 1. Jak navržená strategie pomáhá dosažení cílů? 2.
Informační strategie. řešíte otázku kde získat konkurenční výhodu hledáte jistotu při realizaci projektů ICT Nejste si jisti ekonomickou efektivností.
Smluvní vztahy a registrace u Operátora trhu s elektřinou, a. s
Naši klienti  V současnosti naše systémy užívá 45 zdravotnických zařízení  Naši klienti jsou  rozmístěni v rámci celé ČR (všechny regiony)  tvoří cca.
ISMS v KSRZIS (Koordinační středisko pro rezortní zdravotnické informační systémy) František Henkl.
Zkušenosti se zaváděním systému řízení v KSRZIS podle:
Marie Borecká, Kristina Ficencová 6. kruh, 1. ročník VSRR
Příručka jakosti Ing. Zdeněk Aleš, Ph.D.
Systém managementu jakosti
Luděk Novák dubna 2006 Proč a jak řídit informační rizika ve veřejné správě.
ISMS VE STÁTNÍ SPRÁVĚ A SAMOSPRÁVĚ
Zkušenosti ze zavedení systému řízení kvality informačních služeb
Aktivita č. 6 Návrh a zavedení systému řízení kvality Workshop Výsledky analytického šetření.
Projekt realizace referenčního rozhraní Ing. Jan Pokorný Ministerstvo informatiky ČR ISSS, 5. dubna 2005.
Podnikání na Internetu letní semestr 2004 Jana Holá VIII.
Bezpečnost informačních systémů - nástroje pro podporu řešení bezpečnosti Nemochovský František ISSS Hradec Králové, března 2004.
Analýza rizik Miroslav Čermák.
Právo na informace Tereza Danielisová,
4 Normovaný systém managementu kvality podle ISO 9001
Zkušenosti se zaváděním systému řízení ochrany informací podle ČSN BS ČSN ISO//IEC ve městě Vsetín Stanislava Konečná Vedoucí odboru kanceláře.
Ivo Novotný Jak vybrat dodavatele vzdělávání JAK SI SPRÁVNĚ VYBRAT... Dodavatele vzdělávání.
Realizační tým ICZ duben 2005
Zkušenosti ze zavedení systému řízení bezpečnosti informací ve shodě s ISO a ISO na Ministerstvu zdravotnictví ČR Ing. Fares Shima Ing. Fares.
Schéma procesu vstupy Průběh procesu výstupy činnost ZDROJE.
Přístup k řešení bezpečnosti IT Nemochovský František ISSS Hradec Králové, dubna 2005.
Proces řízení kvality projektu Jaromír Štůsek
1 Elektronický podpis v ČR Bezpečnost IS/IT Jaroslav Malý.
Zpracoval: Ing. Tomáš Vašica, Elektronické schvalování v praxi Moravskoslezského kraje Zpracoval: Ing. Tomáš Vašica Datum:
Ing Jiří Krump, UOOU, náměstek předsedy pro ekonomiku a provoz
Technické řešení PostSignum QCA
1 14.Postakviziční integrace-jaké kroky se mají učinit po podpisu kupní smlouvy Kateřina Čepeláková, E-72 Šk.rok:2009/2010.
Bezpečnostní politika
Obsah A. Due diligence I. Základní vymezení II. Vymezení zadání
BSC 1992 Robert S. Kaplan a David P. Norton článek navrhující měření výkonnosti organizací – BSC – Vyrovnaný přehled výsledků kniha The Balanced.
Číslo projektuCZ.1.07/1.5.00/ Číslo materiáluVY_62_INOVACE_73 8 _ Přímé bankovnictví II. AutorIng. Renata Wagnerová Průřezové téma Člověk a svět.
Trendy v řešení bezpečnosti informací (aspekty personalistiky) F.S.C. BEZPEČNOSTNÍ PORADENSTVÍ a.s. Tomáš Kubínek
Personální audit - cesta k efektivitě využívání lidských zdrojů.
Vypracováno kolektivem autorů České společnosti pro technickou normalizaci Úřad pro technickou normalizaci, metrologii a státní zkušebnictví
Stalo se … příběh jednoho „průšvihu“ Ing.Tomáš Boubelík PhDr.Iva Moravcová Mgr.Oldřich Smola.
SIKP – Státní informační a komunikační politika Prezentace – aplikace vybraných zákonů ve společnosti NeXA, s.r.o. Eva Štíbrová Zdeňka Strousková Radka.
Firemní data mimo firmu: z pohledu zákoníku práce JUDr. Josef Donát, LLM, ROWAN LEGAL ISSS 2014, Hradec Králové.
Řízení investičních projektů DSZ DÚR DS ZBV RS DVZ DSP Systém Aspe.
Operační program Vzdělávání pro konkurenceschopnost Oblast podpory 1.1 – Zvyšování kvality ve vzdělávání.
IS jako nástroj moderního personálního managementu Vít Červinka
PREZENTUJÍCÍ Registry ve veřejné správě Mgr. David Marek
VY_62_INOVACE_ – Přímé bankovnictví Autor Ing. Hana Sůvová
SAFETY 2017 Význam a zásady fyzické bezpečnosti při ochraně (nejen) utajovaných informací. Hradec Králové duben
Elektronické bankovnictví
Systém managementu jakosti
Aplikace zákonů č. 101/2000 Sb. č. 227/2000 Sb.
Městská část Praha 6 Postup příprav GDPR Ing. Jan Holický, MBA
Obecné nařízení o ochraně osobních údajů
Úřad vlády České Republiky
PROCES INVESTIC NĚKTERÉ ASPEKTY U VEŘEJNÉ SPRÁVY.
Transkript prezentace:

Strategie informační bezpečnosti Ivo Vašíček

Proces systému informační bezpečnosti ANALÝZA RIZIK inventura aktiv seznam hrozeb a zranitelností BEZPEČNOSTNÍ AUDIT kontrola shody ověření vhodnosti STRATEGIE cíle prostředky IMPLEMENTACE opatření řešení

Neustálé zlepšování Vyšší cíle Efektivnější postupy Rostoucí hrozby Účinnější opatření

Formulace strategie Přehled požadavků Ověření možností splnění požadavků Stanovení cílů Plán plnění cílů (Určení prostředků a zodpovědností) Formulace závazného dokumentu (vnitřní předpis) Deklarace úrovně informační bezpečnosti – veřejně prezentované strategie ISMS

Příprava strategie - 1. Požadavky zainteresovaných stran Vlastníci, zřizovatelé Management Pracovníci Zákazníci Dodavatelé Veřejnost Strategie informuje ZS o tom, co mohou očekávat a co mají garantováno z hlediska ochrany informací !

Zjištění požadavků zainteresovaných stran K jakým informacím chtějí mít přístup? Jaké informace nezbytně potřebují? Jaké informace o nich uchováváme? Jak si „cení“ svých informací? Jak moc je chtějí chránit?

Vlastníci, zřizovatelé Přezkoumání zřizovacích dokumentů z hlediska práv zřizovatelů (akcionářů apod.) Dohody mezi managementem a zřizovateli Jaké informace musíme komu poskytovat K jakým informacím musíme umožnit přístup Jaké informace získáváme od „vlastníků“ a jak je musíme chránit

Management (stanovuje procesy, cíle a přiděluje prostředky) Přezkoumání organizační struktury a přístupových práv Stanovení požadované úrovně informační bezpečnosti Jaké informace musíme komu poskytovat? K jakým informacím musíme komu umožnit přístup? Jaké informace chce management chránit? (soupis individuálních požadavků) Jaké náklady ochrany informací management očekává?

Pracovníci Požadavky personalistiky Výkonné procesy, přístupová práva Podněty ke zlepšování Jaké informace o pracovnících musíme uchovávat? (definuje management) Jaké informace potřebují pro svoji práci? (ověříme - s managementem) Jaké informace potřebují chránit, a proč? (soupis požadavků)

Zákazníci (u úřadu občané) Obchodní útvary Realizační útvary (včetně servisních) Finanční útvary Jaké informace o zákaznících musíme uchovávat? Jaké jsou obchodní požadavky na ochranu dat zákazníků? (smluvní garance ochrany svěřených dat) K jakým informacím mají mít zákazníci přístup?

Dodavatelé Obchodní útvary Realizační útvary (včetně servisních) Finanční útvary Jaké informace o dodavatelích musíme uchovávat? Jaké jsou obchodní požadavky na ochranu dat dodavatelů? (smluvní garance ochrany svěřených dat) K jakým informacím mají mít dodavatelé přístup? Jaké informace dodavatelům svěřujeme a jaké stanovujeme požadavky na jejich ochranu?

Veřejnost Platná legislativa Obchodní a marketingová strategie Jaké informace musíme uchovávat? (ze zákona) Jaké informace o okolí potřebujeme uchovávat? (OMS) Jaké informace musíme poskytovat? (ze zákona) Jaké informace musíme chránit? (ze zákona) Jaké jsou podmínky pro pořizování a ochranu informací? (ze zákona) Jaké jsou speciální požadavky na ochranu informací? (NBÚ)

Výběr legislativy Zákon 101-2000Sb. – o ochraně osobních údajů Zákon 106 -1999Sb. – Svobodný přístup k informacím Zákon 227-2000Sb. – O elektronickém podpisu Zákoník práce 262-2006 Sb. v aktuálním znění ….

Ověření možností splnění požadavků - 2. Přehled aktiv Seznam požadavků Návrhy na opatření Časová náročnost Zdrojová náročnost (personální, finanční,…) Výsledek opatření (které požadavky a do jaké míry budou uspokojeny) Konsolidovaný návrh (náklady, čas) Minimální varianta Optimální varianta Náklady splnění speciálních požadavků (konkrétní) Podklady pro rozhodování managementu

Návrhy opatření Omezení přístupových práv Použití šifrovacích prostředků Školení pracovníků Úpravy procesů Nákup hardware, software …. POŽADAVEK NA OCHRANU INFORMACÍ - PŘIJATELNÁ MÍRA RIZIKA S OHLEDEM NA HROZBY- ZRANITELNOST A NÁKLADY

Stanovení cílů - 3. Diskuse s managementem (na základě předloženého návrhu) Stanovení úrovně a rozsahu ISMS Personální zdroje Finanční a jiné prostředky Časové rámce Kompetence a odpovědnosti Podklady pro přípravu konkrétního plánu rozvoje ISMS

Schválené cíle Splnění základních legislativních požadavků Certifikace ISO 27001 Získání prověrky „TAJNÉ“ Zvýšená ochrana zákaznických dat (garantovaná) Zvýšená ochrana obchodních informací Zvýšená ochrana manažerské korespondence ….

Plán plnění cílů - 3. Určení zdrojů (na základě schválených cílů) Konkrétní odpovědnost za cíle Stanovení etap, přesný popis cíle Finanční plán Plán použití zdrojů Plán součinností Určení prostředků a zodpovědností Podklad pro formulaci dokumentu strategie ISMS a realizaci strategie

Plán plnění cílů Analýza Diskuse návrhu Úpravy dokumentace Školení Ověření …. Odpovídá, počet hodin práce, náklady na SW, počet hodin součinnosti, školení…

Formulace závazného dokumentu – 5. (vnitřní předpis) Odpovědnosti a kompetence Četnost a rozsah auditů Metoda a proces Identifikace aktiv Analýzy rizik Řešení incidentů Výčet závazných postupů a předpisů Přehled cílů ISMS (odpovědnost, termín, náklady, parametr cíle) Strategie ISMS zastřešuje veškerý výkon aktivit IB.

Ukázka interní normy:

Deklarace úrovně informační bezpečnosti – veřejně prezentované strategie ISMS – 6. Prezentace stávající a plánované úrovně ISMS Jistoty ochrany informací pro zákazníky Jistoty ochrany informací pro dodavatele Jistoty ochrany informací pro zaměstnance Strategie informuje ZS o tom, co mohou očekávat a co mají garantováno z hlediska ochrany informací !

Ukázka veřejné prezentace: GSM Banking - Zaručení bezpečnosti Zaručení maximální bezpečnosti Společnost T-Mobile provozuje službu T-Mobile GSM Banking od roku 1998. Komunikace mezi bankou a zákazníkem probíhá prostřednictvím kódovaných a šifrovaných SMS zpráv. Tento způsob komunikace s bankou patří mezi absolutně nejbezpečnější ze všech. Služba T-Mobile GSM Banking je prostředkem komunikace mezi zákazníkem a bankou. Obsahem této komunikace jsou informace podléhající bankovnímu tajemství. Největší důraz je kladen na bezpečnost. Zamezení neoprávněného přístupu Uživatel mobilního telefonu podporujícího bankovní služby obdrží v bance při aktivaci služby T-Mobile GSM Banking (platí pro starší typy karet) či spolu se SIM kartou (platí pro Universal SIM) speciální číselný kód - BPUK. Na základě tohoto kódu si zvolí osobní přístupový kód BPIN. Správným zadáním kódu BPIN je podmíněno provedení všech bankovních operací. Bezpečnost přenosu dat Přenos dat je zabezpečen šifrováním. Každá bankovní SIM karta má svůj šifrovací klíč, prostřednictvím kterého se provádí zabezpečení komunikace s bankou. Tento klíč je uložen v chráněné oblasti SIM karty a je dostupný pouze po zadání správného kódu BPIN. Odeslaná zpráva z mobilního telefonu je přijata bankou pouze tehdy, pokud je zašifrována správným šifrovacím klíčem.