Stáhnout prezentaci
Prezentace se nahrává, počkejte prosím
1
Daniel Kardoš Ing. Daniel Kardoš
Úvod do systému řízení ochrany zdravotnických informací podle ČSN ISO IEC 27001 Ing. Daniel Kardoš ISMS
2
Co chráníme? Informační aktiva (identifikace aktiv): Data Hardware
Software Informační systémy (Vyhláška o dlouhodobém řízení (z. o ISVS 365/2000 Sb.)) – zařazeno neharmonicky Personál Image
3
Co je bezpečnost informací
Daniel Kardoš Co je bezpečnost informací Důvěrnost – zajištění toho, že informace je dostupná pouze osobám s autorizovaným přístupem, integrita - zabezpečení správnosti a kompletnosti informací a metod zpracování, dostupnost – zajištění toho, že informace a s nimi spjatá aktiva jsou dostupné autorizovaným uživatelům podle jejich potřeby. ISMS
4
Oblasti ochrany informací
Daniel Kardoš Oblasti ochrany informací Dokument politiky bezpečnosti informací, Identifikace a klasifikace aktiv včetně stanovení odpovědnosti a opatření, vzdělávání a školení v oblasti bezpečnosti informací, hlášení bezpečnostních incidentů, řízení kontinuity podnikatelských činností. ISMS
5
Oblasti ISO 27001 – příloha A Politika bezpečnosti informací.
Organizace bezpečnosti informací. Řízení aktiv. Bezpečnost lidských zdrojů. Fyzická bezpečnost a bezpečnost prostředí. Řízení komunikací a řízení provozu. Řízení přístupu. Akvizice, vývoj a údržba informačních systémů. Zvládání bezpečnostních incidentů. Řízení kontinuity činnosti organizace. Soulad s požadavky.
6
1) Politika bezpečnosti informací
Daniel Kardoš 1) Politika bezpečnosti informací Definice bezp. info, cíle, rozsah a důležitostí, prohlášení vedení organizace, stručný výklad zásad: legislativních a smluvních požadavků, vzdělávání v oblasti bezpečnosti, zásady prevence a detekce virů, zásady plánování kontinuity, důsledky porušení bezpečnostních zásad, odpovědnost za řízení, hlášení bezpečnostních incidentů, odkazy na související směrnice. ISMS
7
2) Organizace bezpečnosti informací
Daniel Kardoš 2) Organizace bezpečnosti informací Interní organizace Cíl: Řídit bezpečnost informací v organizaci.Infrastruktura bezpečnosti informací. Externí subjekty Cíl: Zachovat bezpečnost informací organizace a prostředků pro zpracování informací, které jsou přístupné, zpracovávané, sdělované nebo spravované externími subjekty. ISMS
8
3) Řízení aktiv Odpovědnost za aktiva Klasifikace informací
Cíl: Nastavit a udržovat přiměřenou ochranu aktiv organizace. Klasifikace informací Cíl: Zajistit, aby informace získaly odpovídající úroveň ochrany. Vhodná - Nutná jednotnost v rámci resortu zdravotnictví Jakost bezpečnost ekologie 1-07 Moderní obec 3-07 Moderní obec 6-07 Moderní obec 8-07 Moderní obec 10-07 Stránky této konference Sweb.cz / nemocis Stránky ministerstva zdravotnictví
9
4) Bezpečnost lidských zdrojů
Před, během a po vzniku pracovního vztahu srozuměni se svými povinnostmi, aby pro jednotlivé role byli vybráni vhodní kandidáti a snížit riziko lidské chyby, krádeže, podvodu nebo zneužití prostředků organizace vědomi bezpečnostních hrozeb a problémů s nimi spojených, svých odpovědností a povinností a aby byli připraveni podílet se na dodržování politiky bezpečnosti informací během své běžné práce a na snižování rizika lidské chyby.Podmínky výkonu pracovní činnosti ukončení nebo změna pracovního vztahu zaměstnanců, smluvních a třetích stran proběhla řádným způsobem
10
5) Fyzická bezpečnost a bezpečnost prostředí
Zabezpečené oblasti Cíl: Předcházet neautorizovanému fyzickému přístupu do vymezených prostor, předcházet poškození a zásahům do provozních budov a informací organizace. Bezpečnost zařízení Cíl: Předcházet ztrátě, poškození, krádeži nebo kompromitaci aktiv a přerušení činností organizace.
11
6) Řízeni komunikací a řízení provozu
Provozní postupy a odpovědnosti. Řízení dodávek služeb třetích stran. Plánování a přejímání systémů Ochrana proti škodlivým programům a mobilním kódům. Podle odhadů existuje asi 350 virů, červů a dalšího škodlivého kódu pro mobilní telefony. Zálohování. Správa bezpečnosti sítě. Bezpečnost při zacházení s médii. Výměna informací. Služby elektronického obchodu. Monitorování.
12
7) Řízení přístupu Požadavky na řízení přístupu.
Řízení přístupu uživatelů. Odpovědnosti uživatelů. Řízení přístupu k síti. Řízení přístupu k operačnímu systému. Řízení přístupu k aplikacím a informacím. Mobilní výpočetní zařízení a práce na dálku.
13
8) Akvizice, vývoj a údržba informačních systémů
Bezpečnostní požadavky informačních systém´ů. Správné zpracovávání v aplikacích. Kryptografická opatření. Bezpečnost systémových souborů. Bezpečnost procesu vývoje a údržby. Řízení technických zranitelností.
14
9) Zvládání bezpečnostních incidentů
Hlášení bezpečnostních událostí a slabin Cíl: Zajistit nahlášení bezpečnostních událostí a slabin informačního systému způsobem, který umožní včasné zahájení kroků vedoucích k nápravě. Zvládání bezpečnostních incidentů a kroky k nápravě Cíl: Zajistit odpovídající a účinný přístup ke zvládání bezpečnostních incidentů..
15
10) Řízení kontinuity činnosti organizace
Aspekty řízení kontinuity činností organizace z hlediska bezpečnosti informací Cíl: Bránit přerušení činností organizace a chránit kritické procesy organizace před následky závažných chyb a katastrof. Plány kontinuity činností organizace musí být pravidelně testovány a aktualizovány, aby se zajistila jejich aktuálnost a efektivnost.
16
11) Soulad s požadavky Soulad s právními normami:
identifikace odpovídajících právních norem, zákony na ochranu duševního vlastnictví, ochrana záznamů organizace, ochrana osobních údajů a jejich důvěrnost. Soulad s bezpečnostními politikami, normami a technická shoda Hlediska auditu informačních systémů Přístup k nástrojům určeným pro audit
17
Děkuji za pozornost Ing. Daniel Kardoš Dkardos@seznam.cz
Tel:
Podobné prezentace
© 2024 SlidePlayer.cz Inc.
All rights reserved.