11 Základních cílů

• Bezpečnostní politika (1)

• Organizace bezpečnosti (2)

• Klasifikace a řízení aktiv (2)

• Bezpečnost lidských zdrojů (3)

• Fyzická bezpečnost a bezpečnost prostředí (2)

• Řízení komunikací a řízení provozu (10)

• Řízení přístupu (7)

• Výboj, údržba a rozšíření informačního systému (6)

• Zvládání bezpečnostních incidentů (2)

• Řízení kontinuity činností organizace (1)

• Soulad s požadavky (3)

Bezpečností politika (Bezpečnostní politika informací)

• Cíl

• Definovat cíl a vyjádřit podporu bezpečnosti informací ze strany vedení

• Opatření

• Dokument bezpečností politiky informací

• Dokument obsahující politiku bezpečnosti informací musí být shválen vedoucími pracovníky, zveřejněn a vhodným způsobem sdělen všem zaměstnancům

• Revize a hodnocení

• Bezpečnostní politika informací musí být pravidelně revidována a v případě podstatných změn má být zajištěna její aktualizace

Oraganizace bezpečnosti (Vnitřní organizace)

• Cíl

• Řídit bezpečnost informací v oragnizaci

• Opatření

• Výbor pro řízení bezpečnosti informací

• Koordinace bezpečnosti informací

• Přidělení odpovědnosti v oblasti bezpečnosti informací

• Schvalovací proces pro zařízení zpracovávající informace

• Požadavky na důvěrné smlouvy

• Kontakt se subjekty státní správy

• Kontakt s odborníky

• Nezávislá revize bezpečnosti informací

Organizace bezpečnosti (Třetí strany)

• Cíl

• Zachovat bezpečnost zařízení pro zpracování informací a bezpečnost informačních aktiv organizace, pokud jsou přístupné třetím stranám

• Opatření

• Identifikace rizik plynoucích z přístupu třetích stra

• Bezpečnostní požadavky týkající se zákazníků

• Bezpečnostní požadavky ve smlouvě s třetí stranou

Klasifikace a řízení aktiv (Odpovědnost za aktiva)

• Cíl

• Udžovat přiměřenou ochranu aktiv organizace

• Opatření

• Evidence aktiv

• Vlastnictví aktiv

• Použití aktiv

Klasifikace a řízení aktiv (Klasifikace informací)

• Cíl

• Zajištění přiměřenosti ochrany informačních aktiv

• Opatření

• Směrnice pro kalsifikaci

• Značení ifnormací a manipulace s nimi

Bezpečnost lidských zdrojů (Před zaměstnáním)

• Cíl

• Zajištění, aby zaměstnanci, partneři a uživatelé třtích stran rozuměli své odpovědnosti vyplývající z pozice a snižovali riziko krádeže, podvodu nebo zneužití prostředků organizace

• Opatření

• Zahrnutí bezpečnosti do pracovních povinnosti – role (pozice) a odpovědnost

• Prověřování uchazečů

• Pravidla a podmínky praocvní činnosti (zaměstnání)

Bezpečnost lidských zdrojů (Během zaměstnání)

• Cíl

• Zajistit, aby uživatelé si byli vědomi bezpečnostních hrozeb a otázek s nimi spjatých a byli připraveni se podílet na dodržování bezpečnostní politiky bezpečnosti informací v průběhu své běžné práce a snižovali riziko lidské chyby

• Opatření

• Odpovědnosti managementu

• Vzdělávání a školení v oblasti bezpečnosti informací

• Disciplinární řízení

Bezpečnost lidských zdrojů (Změna nebo ukončení)

• Cíl

• Zajištění, aby zaměstnanci, partneři a účastníci třetí strany změnili nebo ukončili pracovní vztah řádným způsobem

• Opatření

• Ukončení pracovního vztahu (požadavky)

• Navrácení majetku

• Odstranění přístupových práv

Fyzická bezpečnost a bezpečnost prostředí (Zabezpečení oblasti)

• Cíl

• Předcházet neoprávněnému přístup do vymezených prostor, předcházet poškození a zásahům do informací organizace

• Opatření

• Fyzická bezpečnostní perimetr

• Fyzická kontrola vstupu osob

• Zabezpečení kanceláří, místností a zařízení

• Ochrana před vnějšími hrozbami

• Práce v zabezpečených oblastech

• Oblasti veřejného přístupu, prostory pro nákaldku a vykládku

Fyzická bezpečnost a bezpečnost prostředí (Bezpečnost zařízení)

• Cíl

• Předcházet ztrátě, poškození nebo prozrazení aktiv a přerušení činnosti organizace

• Opatření

• Umístění zařízení a jeho ochrana

• Dodávky energie

• Bezpečnost kabeláže

• Údržba zařízení

• Bezpečnost zařízení mimo objekt organizace

• Bezpečná likvidace nebo opakované použití zařízení

• Autorizované odstranění či přemístění zařízení

Řízení komunikací a řízení provozu (Provozní postupy a odpovědnosti)

• Cíl

• Zajistit správný a bezpečný provoz prostředků pro zpracování informací

• Opatření

• Dokumentace provozních postupů

• Řízení provozních změn

• Oddělení povinností

• Oddělení vývoje a testování od provozu

Řízení komunikací a řízení provozu (Poskytování služeb třetí stranou)

• Cíl

• Zavést a udržet odpovídající úroveň bezpečnosti informací v souladu se smlouvami o poskytováním služeb třetí stranou

• Prostředky

• Řízení dodávky poskytnutých služeb

• Sledování a přezkoumání služeb

• Řízení změny poskytnutých služeb

Řízení komunikací a řízení provozu (Plánování a akceptace systému)

• Cíl

• Minimalizovat riziko selhání systému

• Opatření

• Plánování kapacit

• Akceptace systému

Řízení komunikací a řízení provozu (Ochrana proti škodlivým programům)

• Cíl

• Chránit integritu SW a dat

• Opatření

• Nástroje a optření proti škodlivému kódu

• Nástroje proti mobilním kódům

Řízení komunikací a řízení provozu (Zálohování)

• Cíl

• Udržovat integritu a dostupnost informací a informačních služeb

• Opatření

• Zálohování informací

Řízení komunikací a řízení provozu (Správa bezpečnosti sítě)

• Cíl

• Zajistit ochranu informací v počítačových sítích a ochranu jejich infrastruktury

• Opatření

• Síťová opatření, kontrola sítě

• Bezpečnost síťových služeb

Řízení komunikací a řízení provozu (Bezpečnosti při zacházení s médii)

• Cíl

• Předcházet poškození aktiv a přerušení činnosti organizace

• Opatření

• Správa vyměnitelných médií

• Likvidace médií

• Postupy pro manipulaci s informacemi

• Bezpečnost systémové dokumentace

Řízení komunikací a řízení provozu (Výměna informací)

• Cíl

• Zajištění bezpečnosti při výměně informací a SQ v rámci organizace I mimo organizaci

• Opatření

• Politiky a postupy pro výměnu informací

• Dohody o výměně informací a SW

• Fyzická bezpečnost médií při přepravě

• Elktronické zasílání zpráv

• Podnikové informační systémy

Řízení komunikací a řízení provozu (Monitoring)

• Cíl

• Detekce neautorizovaných činností

• Opatření

• Auditní záznamy, logy

• Sledování používání systému

• Cohrana vytvořených záznamů

• Administrátorský a provozní deník (logy)

• Záznamy selhání

• Synchronizace času

Řízení přístupu (Požadavky na řízení přístupu)

• Cíl

• Řídit přístup k informacím

• Přístup k informacím a podnikovým postupům musí být řízen na základě politiky bezpečnosti informací a celkové strategie organizace

• Opatření

• Politika řízení přístupu

Řízení přístupu (Řízení přístupu uživatelů)

• Cíl

• Předcházet neoprávněnému přístupu k informačním systémům a informacím

• Opatření

• Registrace uživatele

• Řízení privilégií

• Správa uživatelských hesel

• Kontrola přístupových práv uživatelů

Řízení přístupu (odpovědnosti uživatelů)

• Cíl

• Předcházet neoprávněnému uživatelskému přístupu

• Opatření

• Používání hesel

• Neobsluhovaná uživatelská zařízení

• Politika prázdného stolu a obrazovky

Řízení přístupu (Řízení přístupu k síti)

• Cíl

• Prevence před neautorizavným přístupem k síťovým službám

• Opatření

• Politika užití síťových služeb

• Autentizace uživatele externího připojení¨Identifikace (autentizace) zařízení v síti (uzlů)

• Vzdálená diagnostika a ochrana konfigurace portů

• Oddělení sítí

• Řízení síťových spojení

• Řízení směrování sítě

Řízení přístupu (Řízení přístupu k OS)

• Cíl

• Předcházet neoprávněnému přístupu k počítačům (k OS)

• Opatření

• Bezepčný postup přihlášení

• Identifikace a autentizace uživatele

• Systém správy hesel

• Použití systémových nástrojů

• Ukončení platnosti spojení (session time-out)

• Časové omezení spojení

Řízení přístupu (Řízení přístupu k aplikacím a informacím)

• Cíl

• Předcházet neoprávněnému přístupu k informacím uložených v aplikacích

• Opatření

• Omezení přístupu k informacím

• Oddělení (izolace) citlivých systémů

Řízení přístupu (Mobilní výpočetní prostředí a práce na dálku)

• Cíl

• Zajistit bezpečnost informací při použití mobilní výpočetní techniky a při využití prostředků pro práci na dálku

• Opatření

• Práce s mobilními výpočetními a komunikačními prostředky

• Práce na dálku

Vývoj a údržba systému (Bezpečnostní požadavky systému)

• Cíl

• Zajsitit implementaci bezpenosti do informačních systémů

• Opatření

• Analýza a pecifikace bezpečnostních požadavků

Vývoj a údržba systému (Bezpečnost v aplikacích)

• Cíl

• Předcházet ztrátě, modifikaci nebo znužití informací v aplikacích

• Opatření

• Validace vstupních dat

• Kontrola vnitřních zpracování

• Autentizace zprávy (zabezpečení integrity zprávy)

• Validace výstupních dat

Vývoj a údržba systému (Kryptografická opatření)

• Cíl

• Ochránit důvěrnost, autentičnost nebo integritu informací

• Opatření

• Pravidla použití kryptografických opatření

• Správa šifrovacích klíčů

Vývoj a údržba systému (Bezpečnost systémových souborů)

• Cíl

• Zajsitit bezpečnost systémových souborů

• Opatření

• Správa provozního SW

• Ochrana systémových testovacích dat

• Řízení přístupu ke zdrojovým kódům

Vývoj a údržba systému (Bezpečnost procesů vývoje a podpory)

• Cíl

• Udržovat bezpečnost apliakčních programů a informací

• Opatření

• Postupy řízení změn

• Technická posouzení změn aplikací nebo OS

• Omezení změn programovacích balíků

• Prevence před únikem informací

• Programové vybavení vyvíjené externím doavatelem

Vývoj a údržba systému (Správa technické zranitelnosti)

• Cíl

• Minimalizovat rizika vyplývající z publikovaných technických zranitelností

• Opatření

• Správa technických zranitelností

Zvládání bezpečnostních incidentů (Hlášení události a bezpečnostních slabin)

• Cíl

• Zajistit, aby byly včas komunikovány mimořádné události

• Opatření

• Hlášení událostí týkajících se ISMS

• Hlášení bezpečnostních slabin

Zvládání bezpečnostních incidentů (Řízení incidentů a zlepšování)

• Cíl

• Zajistit, aby byl aplikován konzistentní a fektivní přístuú k řízení incidentů bezpečnosti informací

• Opatření

• Postupy a odpovědnosti

• Ponaučení z bezpečnostních incidentů

• Shromažďování a uchovávání důkazů

Řízení kontinuity podnikatelských činností (Aspekty řízení kontinuity podnikatelských činností)

• Cíl

• Bránit přerušení podniaktelských činností a chránit kritické procesy organizace před násedky závažných chyb a katastrof

• Opatření

• Zahrnutí bezpečnosti informací do kontinuitního procesu podnikatelské činnosti

• Kontinuita podniaktelské činnosti a ohodnocení rzik

• Vývoj a implementace kontinuálního plánu obsahující bezpečnosti informací

• Rámec plánování kontinuity podnikatelské činnosti

• Testování, udržování a přehodnocování plánů kontinuity

Soulad s požadavky (Soulad s právními normami)

• Cíl

• Vyvarovat se porušení norem trestního nebo občasnkého práva, zákonných nebo smluvních povinností a bezpečnostních požadavků

• Opatření

• Určení relativní legislativy

• Zákony na ochranu duševního vlastnictví

• Ochrana záznamů organizace

• Ochrana dat a soukromí osobních informací

• Prevence zneužití prostředků pro zpracování informací

• Regulace kryptografických opatření

Soulad s požadavky (posouzení bezpečnostní politiky a technické shody)

• Cíl

• Zajistit shodu systému a bezpečnostní politikou organizace a normami

• Opatření

• Shoda s bezpečnostní politikou a standardy

• Kontrola technické shody

Soulad s požadavky (Aspekty audity informačního systému)

• Cíl

• Maximalizovat efektivitu a minimalizovat interferenci při provádění auditu systému

• Opatření

• Opatření k auditu IS

• Ochrana nástrjů auditu IS