1 www.pvt.cz E - S V Ě T S E T O Č Í S T Á L E R Y C H L E J I. S T A Č Í T E M U ? Praktická realizace bezpečnostních požadavků standardů ISVS při tvorbě.

Slides:

Advertisements

Podobné prezentace

Pojmy Dlouhodobé řízení ISVS (tj. souhrnně všech, u kterých OVS vykonává funkci správce) OVS zpracovává IK a PD, předmětem posuzování AS je IK, PD za určitých.

Advertisements

Informační systém krizového řízení kraje

Integrovaný systém kvality v dalším profesním vzdělávání KVALITA V DALŠÍM VZDĚLÁVÁNÍ Liberec,

Podívejme se nejen na mobilní bezpečnost v širším kontextu Michal Rada Iniciativa Informatiky pro Občany.

Konference "Bezpečnost v podmínkách organizací a institucí ČR"

1 Počítačové sítě Úvodní přednáška Cíl předmětu –seznámit se s principy datové komunikace –seznámit se s principy distribučních systémů –seznámit se s.

Vaše jistota na trhu IT Důvěryhodná výpočetní základna Ladislav Šolc Microsoft, s.r.o. Solution.

NĚKTERÉ ZKUŠENOSTI ZE ZAVÁDĚNÍ ISO 27001

Facility management ČSN EN

D I G I T Á L N Í V Ý Z V Y ING. JAN ŠTĚPNIČKA PRAHA - 6. PROSINCE 2013 TRENDY VÝSTAVBY BEZDRÁTOVÝCH TELEKOMUNIKAČNÍCH SÍTÍ ARBOR, spol. s r.o.

Audit IT procesů ve FNOL

Daniel Kardoš Ing. Daniel Kardoš

Základní otázky rozvoje informatizace Ing. Dana Bérová náměstkyně ministra – ředitelka sekce Jihlava,

Management kontinuity činností organizace

Řízení přístupových práv uživatelů

Informační technologie pro IZS a krizové řízení

Bezpečnost na platformě Microsoft & Petr Hartmann Solution Specialist Microsoft.

Zákon č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů Zveřejněno ve Sbírce zákonů ČR, částka 99/2000.

3. přednáška, Informační systémy veřejné správy (ISVS) Situace v ČR Úvod do eGovernmentu Výběrová přednáška.

Projekt zavádění jednotné bezpečnostní politiky v prostředí VZP ČR

Inovace výuky ve vazbě na požadavky Mezinárodních výukových standardů doc. Ing. Marie Pospíšilová,CSc. SVŠES.

Nástrahy veřejnoprávního projednávání a územního rozhodování Ing. Pavel Dražďák.

Absolventská práce 2002 Aplikace XML rozhraní v prostředí krajského úřadu Autor : Marek Cop Vedoucí : Ing. Petr Pavlinec 2002.

ISMS v KSRZIS (Koordinační středisko pro rezortní zdravotnické informační systémy) František Henkl.

Zkušenosti se zaváděním systému řízení v KSRZIS podle:

IBM Information Technology Services © Copyright IBM Corporation 2006 Zpracování dokumentace a podpora řízení Integrovaného bezpečnostního centra v Ostravě.

17. března 2003 Univerzální přípojka – brána do IVS Miroslav Nováček Libor Neumann.

Luděk Novák dubna 2006 Proč a jak řídit informační rizika ve veřejné správě.

ISMS VE STÁTNÍ SPRÁVĚ A SAMOSPRÁVĚ

Podpora a rozvoj komunikační infrastruktury ISVS Ing. Lubomír Moravčík

Zkušenosti ze zavedení systému řízení kvality informačních služeb

Informačnípodpora řízení kvality ve firmě Informační podpora řízení kvality ve firmě CRM Ekonomický systém Personalistika Datová pumpa Akord Software Datový.

Daniel Kardoš Ing. Daniel Kardoš

1 Hodnocení informační bezpečnosti Požadavek vyjádření míry bezpečnosti informačního systému nebo jeho IT složek Kritéria hodnocení bezpečnosti –Obecné.

BIS Legislativa Roman Danel VŠB – TU Ostrava.

Projekt realizace referenčního rozhraní Ing. Jan Pokorný Ministerstvo informatiky ČR ISSS, 5. dubna 2005.

Bezpečnost informačních systémů - nástroje pro podporu řešení bezpečnosti Nemochovský František ISSS Hradec Králové, března 2004.

Analýza rizik Miroslav Čermák.

Zásady řešení informační bezpečnosti

Zkušenosti se zaváděním systému řízení ochrany informací podle ČSN BS ČSN ISO//IEC ve městě Vsetín Stanislava Konečná Vedoucí odboru kanceláře.

Security and Protection of Information Conference IDET 2001 © 2001 RISK ANALYSIS CONSULTANTSSPECIALISTÉ NA BEZPEČNOST INFORMACÍ ISO 17799: standard třetího.

NÁRODNÍ DIGITÁLNÍ ARCHIV

Optimalizace atestace 1 Atestace ISVS optimálně Hradec Králové března 2003 Ing. Pavel Staša, CISA Security Architect & Auditor, ICZ a.s.

Corpus Solutions a.s. Zkušenosti s budováním komunikační bezpečnosti Ing. Martin Pavlica.

Zkušenosti ze zavedení systému řízení bezpečnosti informací ve shodě s ISO a ISO na Ministerstvu zdravotnictví ČR Ing. Fares Shima Ing. Fares.

Copyright (C) 1999 VEMA počítače a projektování, spol. s r.o.

Vladimír Šiška Náměstek ministra – ředitel sekce

Základní rozdělení činností v podnikové informatice

Řešení informační bezpečnosti v malých a středních firmách Pavel Šnajdr – Informační management 2 Diplomová práce.

Risk Analysis Consultants s.r.o

Ing. Daniel Kardoš Systém ManagementDesk – nástroj řízení kvality a bezpečnosti podle ISO 9 001, ISO , ISO , ISO a ISO Ing.

GovNet Ing. Zbyněk Škopán. Strana 2 KI ISVS Služby GovNet I. Centrální podpora Uživatelů.

Novelizace zákona č. 365/2000 Sb., o ISVS Hradec

1 Řízení implementace IS a SS* Šablony. 2 Vzorové postupy.

Bezpečnostní politika

IEC 61850: Soubor norem pro komunikaci v energetice

ISSS 2003 PORTÁL VEŘEJNÉ SPRÁVY Ing. Dana Bérová Ministerstvo informatiky.

Helios Orange - Implementace systému

INFORMAČNÍ SYSTÉMY PRO KRIZOVÉ ŘÍZENÍ POUŽITÍ INFORMAČNÍCH SYSTÉMŮ PRO MODELOVÁNÍ A SIMULACE KRIZOVÝCH SITUACÍ - SEMINÁŘ ING. JIŘÍ BARTA Operační program.

Sjednocení technologické platformy Policie ČR CZ.1.06/1.1.00/ Sjednocení technologické platformy Policie ČR CZ.1.06/1.1.00/ Projekt je.

Stalo se … příběh jednoho „průšvihu“ Ing.Tomáš Boubelík PhDr.Iva Moravcová Mgr.Oldřich Smola.

IP firmy Informační politika a firmy „Strategie vytváření podmínek, cílů a priorit v oblasti informačních procesů zejména zdokonalováním informačních.

SIKP – Státní informační a komunikační politika Prezentace – aplikace vybraných zákonů ve společnosti NeXA, s.r.o. Eva Štíbrová Zdeňka Strousková Radka.

Mezinárodní konference ICT Fórum PERSONALIS 2006 Procesní řízení informační bezpečnosti ve státní správě Ing. Jindřich KODL, CSc. Praha

Inovativní služby v oblasti informační bezpečnosti Ing. Jan Drtil.

Certifikace informačních systémů veřejné správy (ISVS) ve smyslu zákona č. 365/2000 Sb. - atest-

SAFETY 2017 Význam a zásady fyzické bezpečnosti při ochraně (nejen) utajovaných informací. Hradec Králové duben

Budování Integrovaného informačního systému Národního památkového ústavu Petr Volfík, NPÚ ÚP

Koncepce bezpečnosti v infrastruktuře systémů veřejné správy

Centrum vzdělanosti Libereckého kraje, příspěvková organizace

Transkript prezentace:

1 E - S V Ě T S E T O Č Í S T Á L E R Y C H L E J I. S T A Č Í T E M U ? Praktická realizace bezpečnostních požadavků standardů ISVS při tvorbě informačních systémů Ing. Jaroslav Vik

2 Bezpečnostní požadavky standardů... ISVS - proč a jak řešit bezpečnost? Cena, kterou informace mají pro vlastníka: z pohledu dopadů nedostupnosti, prozrazení, porušení integrity. Legislativní požadavky. Základní pravidla: vkládat řešení bezpečnosti od samého začátku tvorby IS. věnovat bezpečnosti pozornost po celou dobu životního cyklu IS. pozornost věnovat všem aspektům bezpečnosti - pravidlo nejslabšího článku.

3 Bezpečnostní požadavky standardů... Legislativa Zákon č. 365/2000 Sb., o informačních systémech VS: povinnost orgánů VS zajišťovat ochranu a bezpečnost informací. Standard ISVS 005/02.01 o náležitostech životního cyklu IS: zajistit kvalitní řízení vývoje, provozu a údržby IS, vést jednotnou a strukturovanou dokumentaci (projektová bezpečnostní dokumentace a provozní bezpečnostní dokumentace). Standard ISVS 006/02.02 pro pověřování k výkonu atestací a pro náležitosti provozu atestačních středisek: bezpečnostní standard?

4 Bezpečnostní požadavky standardů... Standardy pro řešení bezpečnosti IS ČSN ISO/IEC TR Směrnice pro řízení bezpečnosti IT. ČSN ISO/IEC Informační technologie - Soubor postupů pro řízení informační bezpečnosti. BS : Information Security Management Systems - Specifications with guidance for use. ČSN ISO/IEC Informační technologie - Bezpečnostní techniky - kritéria pro hodnocení bezpečnosti IT. ITSEC - Kritéria hodnocení bezpečnosti informačních systémů.

5 Bezpečnostní požadavky standardů... Praktický postup Analýza a zvládání rizik (AR) CRAMM: popis systému (řetězce), hodnocení dat formou scénářů, hodnocení hrozeb a zranitelností formou dotazníků, výsledná protiopatření seskupena přibližně dle ITSEC, možnost řazení dle BS 7799 (ČSN ISO/IEC 17799), opakovatelnost, maximální objektivnost, modelování, všechny aspekty. Funkce prosazující bezpečnost. Bezpečnostní architektura. Bezpečnostní mechanismy.

6 Bezpečnostní požadavky standardů... AR CRAMM - popis systému Model (řetězec aktiv): Koncová_služba_uživateli (typ) Datová_skupina Pracovní_stanice Umístění (kancelář) Server Umístění (technický sál) Vnitřní_síť Firewall Umístění (technický sál) Internet Programové_vybavení

7 Bezpečnostní požadavky standardů... AR CRAMM - hodnocení aktiv Datové skupiny: co by se mohlo stát, kdyby data byla nedostupná: „Po 15 minutách nespokojenost zákazníků se službami, po 2 hodinách lze očekávat nepříznivou publicitu celostátního rozsahu.“ co by se mohlo stát, kdyby data byla zničena, prozrazena, či modifikována, v případě dopadu komunikačních hrozeb“:..... Technické a programové vybavení: cena nutná pro pořízení (např. včetně nákladů na školení).

8 Bezpečnostní požadavky standardů... AR CRAMM - hrozby a zranitelnosti Typy hrozeb a zranitelností (38): předstírání identity uživatele, technické závady, přerušení dodávky proudu, požár, poškození vodou, krádeže, terorismus. Hodnocení: Kolik bylo zaznamenáno pokusů o získání přístupu k datům neoprávněným užitím účtu jiného uživatele během posledních tří let? 0 jeden nebo dva v průměru jeden ročně více než jeden ročně není známo

9 Bezpečnostní požadavky standardů... Závěr (opakování úvodu) Pro řešení bezpečnosti existuje důvod: budou-li data nedostupná vystavuji se nepříznivé publicitě, nesplním zákonnou povinnost,... budou-li data prozrazena poruším zákon, vystavuji se nepříznivé publicitě, hrozí mi finanční ztráty, někdo bude zvýhodněn,... budou-li data modifikována vystavuji se nepříznivé publicitě, někdo bude zvýhodněn (finančně),... Pro řešení bezpečnosti existuje právní rámec: zákon, standardy. Jsou známy způsoby řešení bezpečnosti: intuitivní, normy bezpečnosti IS.

10 Bezpečnostní požadavky standardů... Děkuji za Vaši pozornost