Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
info na zk ikt VŠE.docx
Скачиваний:
0
Добавлен:
01.05.2025
Размер:
1.43 Mб
Скачать
  1. Bezpečnost is a ict

ISMS

  • Information Security Management System

  • Normy ISO/IEC 27000

  • ISO/ IEC 27000:2009 – definice pojmů a terminologie

  • ISO/IEC 27001:2005 (BS7799-2) – hlavní norma pro systém řízení bezpečnosti informací (dříve BS7799 část 2)

  • Doporučení, jak aplikovat ISO/IEC 27002

  • ISO/IEC 27002:2005 (ISO/IEC 17799:2005) - ,,sbírka” nejlepších bezpečnostních praktik

Terminologie, definice

  • Dostupnost

  • Zajištění, že informace je pro oprávněné uživatele v okamžiku její potřeby přístupná

  • Důvěrnost

  • Zajištění, že informace jsou přístupné pouze těm, kteří jsou k přístupu oprávněni

  • Bezpečnost iformací

  • Ochrana důvěrnosti, integrity a dostupnosti informací

Terminologie, definice II.

  • Systém řízení bezpečnosti iformací (ISMS)

  • Část celkového systému řízeníorganizace, založená na přístupu (oraganizace) k podnikatelským rizikům, která je zaměřena na vybudování, zavádění, provoz, monitorování, přehodnocování, údržbu a zlepšování bezpečnosti informací

Termininologie, definice III.

  • ISMS zahrnuje

  • Organizační strukturu, Politiky, Plánování činnosti, Odpovědnosti, Praktiky, Směrnice, Postupy, Procesy, Zdroje

Terminologie, definice IV.

  • Integrita

  • Zajištění správnosti a úplnosti informací a metod jejich zpracování

  • Akceptace rizika

  • Rozhodonutí přijmout riziko

  • Analýza rizik

  • Systematické používání iformací k odhadu míry rizika a k určení zdrojů

  • Hodnocení rizik

  • Celkový proces analýzy a vyhodnocení rizik

Terminologie, definice V.

  • Vyhodnocení rizik

  • Proces porovnávání odhadnutého rizika vůči daným kritériím pro určení jeho významu

  • Řízení rizik

  • Koordinace činnosti sloužící k řízení a kontrole organizace s ohledem na rizika

  • Zvládání rizik

  • Procesy výběru a přijímání opratření pro změnu rizika

  • Prohlášení o aplikovatelnosti

  • Dokument popisující cíle opatření a samotná opatření, která jsou relevantní a aplikovatelná na ISMS organizace a která jsou založena na výsledích a závěrečných procesů hodnocení a zvládání rizik

ISO/IEC 27001:2005 I.

  • Dopuručení, jak aplikovat ISO/IEC 27002:2005 v rámci procesu

  • Ustanovení

  • Provozu

  • Údržby a

  • Zlepšování ISMS

  • V souladu se systémy řízení kvality nebo bezpečnosti prostředí

ISO/IEC 27001:2005 II.

  • Popisuje vhodný systém řízení, strukturu a procesy pro řízení bezpečnosti informací

  • Na základě hodnocení rizik

  • Výběr opatření, která jsou aplikovatelná v prostředí firmy

  • Správá definice ISMS je kritickým krokem pro zavedení ISMS ve firmě

  • Přijetí ISMS – strategické rohodnutí

Zavedení ISMS

  • Model PDCA

  • Plan – Do – Check – Act

  • Plánování – zavedení – kontrola – využití

  • Systém vývoje, zavedení a kontinuálního zlepšování (efektivnosti) ISMS

  • Podmíněno

  • Podnikatelskými potřebami

  • Podnikatelský cíli

  • Používanými procesy

  • Velikostí a strukturou organizace

  • Jednoduchá situace = jednoduché řešení

PCDA v ISMS

  1. Plánování (Vytvoření ISMS)

  2. Zavedení (Implementace a provoz ISMS)

  3. Kontrola (Monitorování a posuzování ISMS)

  4. Využití (Podpora a zlepšování ISMS

Plánování

  • Vymezení rozsahu ISMS

  • Definování politiky ISMS

  • Určení systematického přístupu k hodnocení rizik ISMS

  • Identifikace rizik

  • Analýza a vyhodnocení rizik

  • Identifikace a vyhodnocení variant pro zvládání rizik

  • Výběr cílů opatření a jednotlivých opatření pro zvládání rizik

  • Získání souhlasu vedení se zbytkovými riziky

  • Získání souhlasu vedení k zavedení a provozu ISMS

  • Příprava prohlášení a aplikovatelnosti

Zavedení

  • Formulace Plánu zvládání rizik

  • Implementace Plánu zvládání rizik

  • Implementace bezpečnostních opatření

  • Určení postupů pro měření účinnosti zavedených opatření

  • Implementace školení a vzdělávacích programů

  • Řízení provozu ISMS

  • Řízení zrodjů ISMS

  • Implementace procedur pro zjištění/reakci na bezpečnostní incidenty

Kontrola

  • Provedení monitorovacích procedur

  • Provedení pravidelných přezkoumání účinnosti ISMS

  • Měření účinnosti zavedených opatření

  • Přezkoumání úroveň zbytkového a akceptovatelného rizika

  • Provedení interního auditu ISMS

Využití

  • Implementace identifikovaných zlepšení

  • Provedení prevetivních a nápravných akcí

  • Projednání výsledků a návrhů na zlepšení se zainteresovanými stranami

  • Zajištění zlepšování dosažených cílů

Aplikace ISMS

  • Obecně použitelná a aplikovatelná ve všech organizacích bez ohledu na

  • Typ organizace

  • Velikost organizace

  • Povahu podnkání

  • Pokud některé požadavky nemohou být využity, mohou být vyřazeny, mimo:

  • Obecných požadavků na ISMS

  • Odpovědnosti vedení

  • Zhodnocení ISMS

  • Zlepšování ISMS

ISO/IEC 27002:2005

  • Sbírka nejlepších bezpečnostních praktik z oblasti bezpečnostni informací

  • Může být využita jako kontrolní seznam

  • Meznárodní přijatý standard

  • 11 základních oddílů

  • 39 cílů opatření

  • 100vky specifických opatření

Aplikovatelnost cílů

  • Cílem není implementovat vše, ale naplnit všechny aplikovatelné cíle

  • Mohou se objevit požadavky napřeformulování cílů

  • Většina z cílů jsou obecně aplikovatelné

  • Vhodná opatření jsou vybírána na základě hodncoení rizik

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]