Vnímáníplochdokumentuuživatelem
Střednípruhdokumentu
„záchytné“body
BezpečnostISaICT
Isms(InformationSecurityManagementSystem)
NormyISO/IEC27000
oISO/IEC27000:2009–definicepojmůaterminologie
o ISO/IEC27001:2005(BS7799-2)–hlavnínormaprosystémřízeníbezpečnostiinformací(dříveBS7799část2)
Doporučení,jakaplikovatISO/IEC27002
oISO/IEC27002:2005(ISO/IEC17799:2005)–„sbírka“nejlepšíchbezpečnostních
praktik
Terminologie,definice
Dostupnost–zajištění,žeinformacejeprooprávněnéuživatelevokamžikujejípotřebypřístupná
Důvěrnost–zajištění,žeinformacejsoupřístupnépouzetěm,kteříjsoukpřístupuoprávněni
Bezpečnostinformací–ochranadůvěrnosti,integrityadostupnostiinformací
Systémřízeníbezpečnostiinformací(ISMS)
oČástcelkovéhosystémuřízeníorganizace,založenánapřístupu(organizace)
kpodnikatelskýmrizikům,kterájezaměřenanavybudování,zavádění,provoz,
monitorování,přehodnocování,údržbuazlepšováníbezpečnostiinformací
o Zahrnuje:organizačnístrukturu,politiky,plánovacíčinnosti,odpovědnosti,praktiky,směrnice,postupy,procesy,zdroje
Integrita–zajištěnísprávnostiaúplnostiinformacíametodjejichzpracování
Akceptacerizika–rozhodnutípřijmoutriziko
Analýzarizik–systematicképoužíváníinformacíkodhadumíryrizikaakurčenízdrojů
Hodnocenírizik–celkovýprocesanalýzyavyhodnocenírizik
Vyhodnocenírizik–procesporovnáváníodhadnutéhorizikavůčidanýmkritériímprourčeníjehovýznamu
Řízenírizik–koordinovanéčinnostisloužícíkřízeníakontroleorganizacesohledemnarizika
Zvládánírizik–procesyvýběruapřijímáníopatřeníprozměnurizika
Prohlášeníoaplikovatelnosti–dokumentpopisujícícíleopatřeníasamostatnáopatření,
kterájsourelevantníaaplikovatelnánaISMSorganizaceakterájsouzaloženánavýsledcíchazávěrečnýchprocesůhodnoceníazvládánírizik
ISO/IEC27001:2005
Doporučení,jakaplikovatISO/IEC27002:2005vrámciprocesu
oUstanovení,provozu,údržbyazlepšováníISMS
Vsouladusesystémyřízeníkvalitynebobezpečnostiprostředí
Popisujevhodnýsystémřízení,strukturuaprocesyprořízeníbezpečnostiinformacíNazákladěhodnocenírizikvýběropatření,kterájsouaplikovatelnávprostředífirmySprávnádefiniceISMSjekritickýmkrokemprozavedeníISMSvefirmě
PřijetíISMS–strategickérozhodnutí
ZavedeníISMS
ModelPDCA(Plan–Do–Check–Act)
oPlánování–zavedení–kontrola–využití
oSystémvývoje,zavedeníakontinuálníhozlepšování(efektivnosti)ISMS Podmíněno
oPodnikatelskýmipotřebami,podnikatelskýmicíly,používanýmiprocesy,velikostía
strukturouorganizace
JEDNODUCHÁSITUCE=JEDNODUCHÉŘEŠENÍ
Plánování
VymezenírozsahuISMSDefinovánípolitikyISMS
UrčenísystematickéhopřístupukhodnocenírizikISMS
Identifikacerizik
Analýzaavyhodnocenírizik
Identifikaceavyhodnocenívariantprozvládánírizik
Výběrcílůopatřeníajednotlivýchopatřeníprozvládánírizik
Získánísouhlasuvedenísezbytkovýmiriziky
ZískánísouhlasuvedeníkzavedeníaprovozuISMSPřípravaprohlášeníoaplikovatelnosti
Zavedení
FormulaceplánuzvládánírizikImplementaceplánuzvládánírizikImplementacebezpečnostníchopatření
Určenípostupůproměřeníúčinnostizavedenýchopatření
Implementaceškoleníavzdělávacíchprogramů
ŘízeníprovozuISMSŘízenízdrojůISMS
Implementaceprocedurprozjištění/reakcinabezpečnostníincidenty
Kontrola
Provedenímonitorovacíchprocedur
ProvedenípravidelnýchpřezkoumáníúčinnostiISMS
Měřeníúčinnostizavedenýchopatření
Přezkoumáníúrovnězbytkovéhoaakceptovatelnéhorizika
ProvedeníinterníhoaudituISMS
Využití
Implementaceidentifikovanýchzlepšení
Provedenípreventivníchanápravnýchakcí
Projednánívýsledkůanávrhůnazlepšenísezainteresovanýmistranami
Zajištěnízlepšovánídosaženýchcílů
AplikaceISMS
Obecněpoužitelnáaaplikovatelnávevšechorganizacíchbezohledunatyporganizace,velikostorganizace,povahupodnikání
Pokudněkterépožadavkynemohoubýtvyužity,mohoubýtvyřazeny,mimo
oObecnýchpožadavkůnaISMS,odpovědnostivedení,zhodnoceníISMS,zlepšování
ISMS
ISO/IEC27002:2005
Sbírkanejlepšíchbezpečnostníchpraktikzoblastibezpečnostiinformací–můžebýtvyužitajakokontrolníseznam
Mezinárodněpřijatýstandard
11základníchoddílů
39cílůaopatření
Stovkyspecifickýchopatření
Aplikovatelnostcílů
Cílemneníimplementovatvše,alenaplnitvšechnyaplikovatelnécíle
oMohouseobjevitpožadavkynapřeformulovánícílů
oVětšinacílůjsouobecněaplikovatelná
Vhodnáopatřeníjsouvybíránanazákladěhodnocenírizik
11základníchcílůBezpečnostnípolitika(1)Organizacebezpečnosti(2)Kvalifikaceařízeníaktiv(2)Bezpečnostlidskýchzdrojů(3)
Fyzickábezpečnostabezpečnostprostředí(2)
Řízeníkomunikacíařízeníprovozu(10)Řízenípřístupu(7)
Vývoj,údržbaarozšířeníinformačníhosystému(6)Zvládáníbezpečnostníchincidentů(2)
Řízeníkontinuityčinnostíorganizace(1)
Souladspožadavky(3)
Bezpečnostnípolitika–bezpečnostnípolitikainformací
Cíl–definovatcílavyjádřitpodporubezpečnostiinformacízestranyvedení
Opatření
oDokumentbezpečnostnípolitikyinformací
Dokumentobsahujícípolitikubezpečnostiinformacímusíbýtschválenvedoucímipracovníky,zveřejněnavhodnýmzpůsobemsdělenvšemzaměstnancům
oRevizeahodnocení
Bezpečnostnípolitikainformacímusíbýtpravidelněrevidovánaavpřípaděpodstatnýchzměnmábýtzajištěnajejíaktualizace
Organizacebezpečnosti–vnitřníorganizaceCíl–říditbezpečnostinformacívorganizaciOpatření
oVýborprořízeníbezpečnostiinformací
oKoordinacebezpečnostiinformací
oPřiděleníodpovědnostivoblastibezpečnostiinformací
oSchvalovacíprocesprozařízenízpracovávajícíinformace
oPožadavkynadůvěrnésmlouvy
oKontaktsesubjektystátnísprávy
oKontaktsodborníky
oNezávislárevizebezpečnostiinformací
Organizacebezpečnosti–třetístrany
Cíl–zachovatbezpečnostzařízeníprozpracováníinformacíabezpečnostiinformačníchaktivorganizace,pokudjsoupřístupnétřetímstranám
Opatření
oIdentifikacerizikplynoucíchzpřístuputřetíchstran
oBezpečnostnípožadavkytýkajícísezákazníků
oBezpečnostnípožadavkyvesmlouvěstřetístranou
Klasifikaceřízeníaktiv–odpovědnostzaaktivaCíl–udržovatpřiměřenouochranuaktivorganizaceOpatření–evidenceaktiv,vlastnictvíaktiv,použitíaktiv