Projekt implementace ISMS

Projekt implementace ISMS

PV 017 Bezpecnost IT

Jan Staudek http://www. .muni.cz/usr/staudek/vyuka/

}

w A| y < 5 4 23 1 0 / -. , )+ ( %&' $ # !"

Æ

Verze : podzim 2016

ISMS { Information Security Management System

Metodicky vypracovany a udrzovany a certi kovatelny system procesu zajist'ujcch r adn e prosazovan informacn bezpecnosti v organizaci, typicky a zejmena v oblastech zen (zvlad X R an ) rizik souvisejcch s informacn bezpecnost X Organizacn zajisten informacn bezpecnosti X Zaveden a prosazovan bezpecnostn politiky a planu zvlad an rizik zajist'ujcch duv ernost, integritu a dostupnost informacnch aktiv X Sprava informacnch aktiv X Bezpecnost lidskych zdroju X Fyzicka a arealov a bezpecnost zen komunikac a provozu informacnch system X R u zen prstupu k informacnm aktivum X R X Porizovan , vyvoj a udr zba informacnch system u X Reakce na utoky na informacn bezpecnost X Zachovan kontinuity c innosti organizace po utoku na InSec X Dosahovan souladu s pravn mi a smluvnmi zavazky Jan Staudek, FI MU Brno

|

PV017 { Projekt implementace ISMS

1

Projekt zaveden, implementace ISMS

2

ISO/IEC 27003 : 2010 Information technology | Security techniques | Information security management system implementation guidance

Navod k implementaci ISMS { jak zahajit, naplanovat a de novat projekt zavad ejc ISMS formou zakazky r esene organizac clene na zaveden ISMS a na integraci ISMS mezi ostatn podnikatelske (byznys) procesy organizace

Jan Staudek, FI MU Brno

|


2

Projekt zaveden, implementace ISMS

2

Faze zakazky projekt implementace ISMS jsou: ZAHAJEN I PROJEKTU IMPLEMENTACE ISMS 1. Zskan souhlasu veden organizace s projektem implementace ISMS 2. De novan oblasti pusobnosti ISMS a politiky ISMS

PR I PRAVA IMPLEMENTACE ISMS 3. Analyza pozadavku organizace na informacn bezpecnost 4. Ohodnocen rizik a vypracovan planu zvladnut rizik

NAVRH ISMS 5. Navrh a implementace ISMS


|


3

Nejprve k metodam r zen realizacn ho projektu obecne

2 2

Navrh, implementace a zaveden ISMS je projekt Co je to projekt { obecna charakteristika jedinecna soustava c innost smer ujcch k predem stanovenemu a jasne de novanemu cli, ktera ma urceny zacatek a konec, ktera vyzaduje spolupraci ruzn ych profes, va ze jejich kapacity a jejich usil a X vyuzva (prpadne spotrebovav a) pro vytvoren clovych vystup u { informace, { material, { penze, { schopnosti a dovednosti zu castnenych lid X X X X


|


4

Metodologie navrhu a implementace ISMS

2 2

2 2

Projekt vzdy zamestnav a skupinu lid a ovlivnuje jine skupiny lid. Projekt je vzdy spojen s rizikem neusp echu, ponevadz je jedinecny a nikdy zcela presne nevme, co nas v prub ehu jeho realizace c eka nebo zaskoc. Abychom vsak mohli projekt r dit k usp echu, musme mt nejaky scen a r c i osnovu. Tmto jsou plany projektu. Prklady planovan ych ukol u X urcen zpusobu r zen projektu

(waterfall, agiln prstup, . . . ) urcen zpusobu zajisten integrace ruzn ych r dicch system u, identi kace klc ovych odpovednost, identi kace pozadovanych zdroju v prub ehu z ivotnho cyklu projektu, rozhodnut o vyuzvan konzultantu, ..., ... Jan Staudek, FI MU Brno

|


5

Metodologie navrhu a implementace ISMS

2

ech projektu tedy znamena splnen cle ve trech Usp dimenzch: X vecne (CO, JAK, a V JAKE KVALITE se ma udelat), X c asove (KDY ma byt co provedeno { etapy/faze, kroky, ukony) a X nakladov e (ZA KOLIK se to ma udelat,

nejprve ve spotrebovane praci a pak v penezch).

2

Tento trojimperativ projektu v podstate odpovda tomu, jak je v obchodnm zakon ku vymezena smlouva o dlo. X Kaˇzda´ smlouva o d´ılo mus´ı obsahovat ˇ specifikaci plnˇen´ı (CO A JAK, V JAKE´ KVALITE), term´ıny (KDY) a cenu (ZA KOLIK), aby to smlouva o d´ılo byla Jan Staudek, FI MU Brno

|


6

Metody r zen realizacn ho projektu

2

Standard ISO/IEC 27001 puvodn e direktivne predpisoval pouzt pro projekt implementace ISMS procesn prstup podle metodologie PDCA X PDCA, Plan–Do-Check-Act, planuj, udelej, zkontroluj, jednej X take Deminguv cyklus nebo PDCA cyklus

metoda postupneho zlepsovan naprklad kvality vyrobk u, sluzeb, procesu, aplikac, dat, probhajc formou opakovaneho provad en c tyr zmnenych c innost. Deatily viz naprhttp://mostechinformationsite.blogspot.cz/2014/10/pdcacycle-of- quality-management-basic.html 2

Dals aplikovatelne metody r zen X COBIT, http://www.isaca.org/cobit/pages/default.aspx X ITIL, https://managementmania.com/cs/informationtechnology-infrastructure-library Jan Staudek, FI MU Brno

|


7

Model PDCA,

2 2

Plan–Do-Check-Act

Model PDCA je s iroce uplatnovan y v podnikan , v r zen kvality, . . . ISMS mus byt mj. integrovany s r dicmi systemy napr. pro { r zen kvality (dle standardu ISO 9001) a { pro udrzovan z ivotnho prostred ( ISO 14001), ktere rovnez pouzvaj model PDCA a tudz je pouzit PDCA uprednostnov ano


|


8

PDCA cyklus vyvoje ISMS


|


9

PDCA { faze

2

PLAN (zrzen ISMS) De nice oblasti ISMS De nice politiky informacn bezpecnosti De nice systematickeho prstupu k ohodnocovan rizik Vypracovan procedur r escch ohodnocen rizik a proveden ohodnocen rizik cl { v kontextu politiky a oblasti ISMS identi kovat dule zita informacn aktiva a rizika, kterym jsou tato aktiva vystavena X Identi kace a vyhodnocen moznost jak zvladat rizika X Vyb er clu ochran a implementovatelnych opatren pro kazdou moznost X Vypracovan Prohla sen o aplikovatelnosti vybranych opatren pokryte bezpecnostn cle a vlastnosti vybranych opatren X X X X


|


10

PDCA { faze

2

DO (implementace a provozovan ISMS) X Formulace planu zvlad an rizik, vytvoren jeho dokumentace

X X X X

{ systemov a, detailn, bezpecnostn politika { de nice procesu a procedur plncch bezpecnostn opatren Implementace vsech opatren urcenych v planu zvlad an rizik Implementace procedur (opatren) umoznuj cch promptn detekci bezpecnostnch incidentu a reakce na ne Zaskolen relevantnch zamestnancu, de nice programu systematicke vychovy k bezpecnostnmu uvedomen Zajisten zdroju a operac pro vykon c innosti ISMS


|


11

PDCA { faze

2

CHECK (sledovan a posuzovan ISMS) X monitorovan , ohodnocovan , testovan , audit c innost r zenych ISMS X vytva ren dukaz u, shromazd'ovan vysledk u monitorovan , . . . X posuzovan a tam kde to jde i mer en, vykon u procesu proti

bezpecnostn politice, clum a praktickym zkusenostem X generovan zprav pro posouzen managementem X mer en u cinnosti systemu r zen a opatren, ktera jej implementuj 2

ACT (udr zba a vylepsen ISMS) X Proveden oprav a zmen

na zaklad e vysledk u posouzen managementem X Identi kace, dokumentace a implementace vylepsen ISMS


|


12

Ukazka aplikace PDCA cyklu na procesy r zen rizik

X Detailnejs poznamky k PDCA cyklu viz Dodatek l teto predna sky Jan Staudek, FI MU Brno

|


13

Demonstrace cle a zavazku managementem

2

ISO 27001 pozaduje, aby management organizace demonstroval, z e implementaci ISMS r ad mezi sve cle, a ma vuli ISMS implementovat, coz dokazuj kroky: X Stanoven politiky ISMS a clu informacn bezpecnosti, ktere mus byt X X X X X X X

kompatibiln s orientac podnikatelske strategie organizace Zajisten integrace ISMS mezi ostatn procesy organizace Zajisten dostupnosti zdroju vyzadovanych pro ISMS Probehlo seznamen organizace s dule zitost r zen InSec Zajisten, z e ISMS dosahl zamy slenych vysledk u stanovenych politikou a cli informacn bezpecnosti Veden a podpora perzonalu k prispvan k u cinnosti ISMS Prosazovan kontinualn ho vylepsovan ISMS Podporovan manazerskych rol Jan Staudek, FI MU Brno

|


14

Projekcn tym, r dic vybor

2

Pro navrh a implementaci by mel nejvyss management ustanovit projekcn tym a/nebo r dic vybor X Tym by mel vest c len strednho c i nizs ho managementu s dels prax X Nen vhodny IT manazer, ti maj z pohledu podnikan nizs kredibilitu X Tym by mel sestavat jak z klc ovych byznys manazeru,

tak i z technickych expertu na InSec a na IT X Experty na InSec a na IT lze zajistit i smluvne, pak je ale nutne uplatnit odpovdajc opatren pro bezpecnou participaci tretch stran (NDA, . . . ) 2

Vce doplnuj cch poznamek k praci tymu viz Dodatek 2 teto predna sky


|


15

Cestovn mapa PDCA cyklu ISMS


|


16

Zahajen projektu, dlc faze

2

Uvedomen potreby ISMS X Vysvetlovan predevsm vyss m manazerum

proc je ISMS potrebny a co se jm rozum, co ovlivn X Nasazen ISMS je podnikatelsky projekt nikoli technicky projekt X Pokud nebude mt podporu veden spolecnosti, vyss ho managementu a relevantnch manazeru, padne 2

Zskan odbornych zkusenost X dukladn a vychova a trening dovednost a znalost c lenu tymu

2

Vymezen prostoru X urcen hranic pusobnosti ISMS

2

Formulovan politiky X vyvoj a odsouhlasen politiky informacn bezpecnosti organizace X tato politika vymezuje orientaci ISMS v kontextu podnikatelskych clu Jan Staudek, FI MU Brno

|


17

Zdroje informac pro tvorbu politiky informacn bezpecnosti

2

Zdroje navod u k postupu budovan politiky informacn bezpecnosti a ISMS v prostred IS0 27000 http://www.itil.cz/, ITIL { IT Governance http://www.iso27001security.com/html/iso27000.html

2

Zdroj navod u k postupu budovan politiky informacn bezpecnosti X http://www.yourwindow.to/ X Your Window To Information Security Policies and Disaster Recovery


|


18

Zahajen projektu, dlc faze

2

Jak dosahnout uvedomen potreby ISMS X Hlavn tema { co organizace zska zavedenm ISMS ? X Cirkulace relevantnch knih X Prezentace a workshopy orientovane na ISO 27001 na pozadavky

implementace vedene internmi i externmi experty X e-learning, . . . X Vyklad zamer it na prklady zisku ze zaveden ISMS v organizaci, na hrozby a rizika typicka pro organizaci


|


19

Faze projektu implementace ISMS


|


20

Dlc kroky faz projektu implementace ISMS

1. Zskan souhlasu veden organizace pro zahajen implem. ISMS 1.1 Objasnen priorit organizace pro projekt ISMS 1.2 Predbez na de nice oblasti pusobnosti ISMS 1.3 Vytvoren zakazky a planu projektu implementace ISMS pro odsouhlasen vedenm organizace 2. De novan oblasti pusobnosti ISMS a politiky ISMS 2.1 De novan oblasti a hranic inf. bezpecnosti v organizaci 2.2 De novan oblasti a hranic informacnch a komunikacnch technologi (ICT) 2.3 De novan fyzicke oblasti a hranic 2.4 Integrace vsech oblast a hranic do oblasti a hranic ISMS 2.5 Vyvoj politiky ISMS a zskan souhlasu od veden Jan Staudek, FI MU Brno

|


21


3. Analyza pozadavku organizace na informacn bezpecnost 3.1 De novan pozadavku organizace na inf. bezpecnost 3.2 Identi kace aktiv v oblasti pusobnosti ISMS 3.3 Ohodnocen informacn bezpecnosti 4. Ohodnocen rizik a vypracovan planu zvladnut rizik 4.1 Ohodnocen rizik 4.2 Vyb er clu opatren a opatren { Prohla sen o aplikovatelnosti 4.3 Zskan souhlasu veden organizace s implementac a provozovan m ISMS, vypracovan planu zvladnut rizik


|


22


5. Navrh ISMS 5.1 Navrh informacn bezpecnosti v organizaci 5.2 Navrh fyzicke a ICT informacn bezpecnosti 5.3 Navrh informacn bezpecnosti speci cke pro ISMS 5.4 Vytvoren naln ho planu projektu ISMS 2

Detailn popisy dlcch kroku vsech peti faz obsahuje Dodatek 2 teto predna sky


|


23

Role dokumentace ISMS

2

Procesy v organizaci opakovatelne, odolne vu ci ztrat e znalost napr. po vypov edi nektereho zamestnance mus byt X Opakovatelne procesy jsou konzistentnejs a vce predvdatelne

2

cinnost kazdeho U systemu r zen zavis na patricne, korektn dokumentaci jeho procesu X a na archivu zaznam u demonstrujcch jeho nedostatky

2

ISO 27001 pozaduje dostupnost dokumentace X kazdeho bezpecnostnho opatren ISMS a X relevantnho ISMS

2

Dobre fungujc ISMS je plne dokumentovany


|


24

Role dokumentace ISMS

2 2

Tvorba dokumentace ISMS je c asove nejnaro cnejs c ast projektu Dokumentace ISMS mus byt X upln a, vycerpavaj c X v souladu s pozadavky standardu ISO 27001 X ve forme odpovdajc remnmu stylu a kulture

2

Dokumentace mus byt dostupna a pouzitelna a adekvatn e chran ena


|


25

Po zadavky na dokumentaci ISMS

2

Organizace mus mt system r zen dokumentace urcujc jak se informace distribuuj, zprstupnuj , zskavaj a pouzvaj jak mus byt informace uchovavan e a chran ene, vc. udrzen c itelnosti zmenove r zen v dokumentaci pravidla skladovan a likvidace dokumentace zpusob identi kace a spravy dokumentu chran enych autorskymi pravy zpusob identi kace a zachazen s informacemi podle jejich klasi kacn urovn e z hlediska duv ernosti X zpusob zachazen s informacemi perzonalistickeho charakteru X X X X X X

2

Jsou dostupne systemy pro r zen dokumentovych zakladen ISMS obsahujc predpripravene s ablony, . . . X http://www.itgovernance.co.uk/shop/p-1462-iso-27001-iso27001- isms-documentation-toolkit.aspx X http://advisera.com/27001academy/iso-27001-documentation- toolkit/


|


26

Dokumentace ISMS

2

Minimaln skladba dokumentu ISMS dle ISO 27001 je X politika informacn bezpecnosti, de nice oblasti ISMS, X X X

X 2

vysledky hodnocen rizik, cle r zen, prohla sen o aplikovatelnosti dukazy akc provedenych organizac a vedenm pri speci kaci oblasti (zapis z jednan veden) popis r dic struktury projektu ISMS (rdic vybor apod.) v navaznosti na organizacn schema organizace plan zvlad an rizik a podpurn e dokumentovane procedury (odpovednosti, pozadovane akce) implementujc kazde opatren { procedura: kdo ma co, jak, kdy, z jakych podmnek udelat procedury (odpovednosti, pozadovane akce) r zen a inspekce ISMS

Posledn dve komponenty tvor manual politiky ISMS

X mus byt dostupny vsem zamestnancum, elektronicky, tiskem X mus byt strukturovane c slovany, s udrzovan m reviz, . . . X podrobneji se Manualu ISMS venuje Dodatek 3 teto predna sky Jan Staudek, FI MU Brno

|


27

4-vrstva struktura dokumentove zakladny ISMS


|


28


2

Autorizacn urovn e dokumentace X 1. urove n { vrcholovy management, Board of Directors X 2. urove n { CSO (Chief Security Ocer), spravce bezpecnosti

po projednan s r dicm vyborem informacn bezpecnosti X 3. urove n { CISO (Chief Information Security Ocer), spravce informacn bezpecnosti + s efove oddelen/odboru organizace X 4. urove n { CISO (Chief Information Security Ocer), spravce informacn bezpecnosti + s efove oddelen/odboru organizace


|


29


1. vrstva { Politiky X Nastaven politik { strategicke pomerne r dce menene dokumenty

na vysoke urovni abstrakce, stanoven principu X Dokumenty autorizovane nejvyss m managementem autorizace = demonstrace odpovednosti nejvyss ho veden za politiky X Prklady dokumentu 1. urovn e { vymezen zabezpecovane oblasti, { politika informacn bezpecnosti, { plan r esen procesu PDCA pri vyvoji ISMS { vysledek hodnocen rizik, { prohla sen o aplikovatelnosti, { plan zvlad an rizik, { manual ISMS { ...


|


30


2. vrstva { Procedury X popis procedur pro implementaci politik,

nastaven podnikatelskych pozadavku, procedur a procesu X Dokumenty autorizovane vykonn ym managementem, konkretn e temi, kter jsou odpovedn za prosazovan politik v konkretn ch oblastech podnikan , a CSO (Chief Security Ocer), spravcem bezpecnosti, vzdy vsak po projednan s r dicm vyborem informacn bezpecnosti X prklad: politika r zen prstupu si vyzad a procedury: { sprava uzivatelu (User Management): zrizovan u ctu, ... { pridelovan prstupovych prav ... X procedury se mohou menit v prub ehu roku tak, aby reagovaly na konkretn podnikatelske podmnky a pozadavky, zmeny se sm vsak odehravat pouze v mezch stanovenych politikami schvalen ymi nejvyss m managementem Jan Staudek, FI MU Brno

|


31


3. vrstva { Pracovn instrukce X Uplatnov an politik pri konkretn ch c innostech organizace,

X

X

X

X

instrukce pro provad en konkretn ch ukol u zamestnanci, vc. mer en u cinnosti opatren, v organizaci, v jednotlivych oddelench dokumenty typu smlouva s uzivatelem, popis prace, apod. (napr. jak postupovat pri uzavran dohody se vzdalen e pracujcm zamestnancem) jsou vytva rene vlastnky podnikatelskych aktiv/procesu, autorizovane jejich prmymi nadrzenymi a spravcem informacn bezpecnosti, CISO (Chief Information Security Ocer) jsou pravidelne prezkoumavane a vylepsovane, men se pomerne c asto, tak jak se men pracovn metody (ISMS se prub ez ne vylepsuje), prpadne tak jak se identi kuj rizika (preventivn akce) nebo selhavaj opatren (opravne akce) zmeny v pracovnch instrukcch se sm vsak odehravat pouze v mezch stanovenych procedurami, ktere implementuj Jan Staudek, FI MU Brno

|


32


4. vrstva Zpravy X zpravy o tom, co se stalo, jak ISMS bez el X zapisy, logy, zaznamy o incidentech, . . . ,

vysledky auditu z faze CHECK . . . , X formula re, s ablony pro tyto dokumenty


|


33

Zakladn dokumenty ISMS

2

Celkova politika informacn bezpecnosti oblasti organizace X de nuje

X X X X X X

{ zabezpecovanou oblast organizace, { se rozum bezpecnost informac, { komponenty a u cel ISMS a { faktory ovlivnuj c r zen c innosti orgranizace plynouc z de novaneho a systematickeho prstupu k informacn bezpecnosti je vypracovana na vysoke urovni abstrakce je odsouhlasena vrcholovym managementem organizace jej vypracovan vyzaduje ISO 27002 ISO 27001 vyzaduje politiku ISMS obe politiky se mohou doplnovat, nahrazovat, z adn a nen implicitne nadrazena druhe Typovou strukturu politiky ISMS uvad Doplnek 4 teto predna sky Jan Staudek, FI MU Brno

|


34

Zakladn dokumenty ISMS

2

Plan zvlad an rizik organizace X take { systemov a politika informacn bezpecnosti X take { systemov a politika informacn bezpecnosti systemu XYZ X popis jak, v de novane oblasti konkretn e, mus byt zvladan a rizika

z pohledu informacn bezpecnosti


|


35

ISMS dale obsahuje dokumenty

{ Z oblasti spravy informacn bezpecnosti 2 2 2

Soupis citlivych informacnch aktiv v oblasti (data, informacn systemy) Hodnocen zranitelnost, hrozeb a rizik pro tato aktiva Manual ISMS obsahujc Prohla sen o aplikovatelnosti X identi kace opatren { funkc prosazujc bezpecnost {

odpovdajcch zvladan ym rizikum

{ Z oblasti nastroj u pro plnen spravy informacn bezpecnosti 2

a, Upln vzajemn e souvisejc sestava popisu procesu, politik, procedur a navod u k c innostem zajist'ujc informacn bezpecnost v oblasti Jan Staudek, FI MU Brno

|


36

Typicka dokumentova zakladna ISMS, systematizace

2

Dokumenty tvorc Manual ISMS X Politika informacn bezpecnosti, de nice oblasti pokryte ISMS,

metodologie ohodnocovan rizik, vystup procesu ohodnocen rizik, prohla sen o aplikovatelnosti, klasi kacn schema informac, procedury podporujc ISMS, . . . { detaily viz doplnek predna sky X Manual je dostupny vsem zamestnancum v tistene a/nebo v elektronicke forme X Zamestnanci maj byt s kolen podle manualu ISMS 2

Dukazy akc provedenych organizac a jejm vedenm pri speci kaci oblasti ISMS X zapisy ze schuz veden, zpravy specialistu, ...

2

Popis systemu r zen informacn bezpecnosti X r dc vybor, CISO, . . . X systemu r zen by mel odpovdat organizacnmu schematu organizace Jan Staudek, FI MU Brno

|


37


2

Plan zvlad an rizik, systemov a bezpecnostn politika X odpovednosti a pozadovane akce X vc. podpurn ych dokumentovanych procedur implementujcch

stanovena opatren { kdo ma co delat, za jakych podmnek, kdy, jak { typicky jedna procedura / kazde implementovane opatren { detailn popisy pracovnch postupu identi kovane v manualu ISMS, s autorizacemi X vypracovany obvykle na detailnejs urovni nez manual ISMS X typicky duv erny dokument s omezenou dostupnost pro role urcene v ISMS v souladu s klasi kacnm schematem urcenym politikou

2

Procedury r dc spravu a inspekci ISMS X odpovednosti a pozadovane akce X soucast manualu ISMS Jan Staudek, FI MU Brno

|


38


2

Pracovn instrukce X detailn popisy kroku plncch ukoly predesane procedurami

2

Formula re, s ablony, zpravy o auditech, . . . X vc. zaznam u o efektivnosti ISMS pro u cely internch auditu a

prezkoumav an managementem


|


39

Jak vytva ret dokumentaci ISMS ?

2

Metoda pokusu a omylu, prvn tvorba, pouze vlastnmi silami X Typicky potrebna doba: 14 { 19 mescu

{ porozumen pozadavkum: 1 mesc { planov an :1 mesc { vypracovan politiky informacn bezpecnosti: 1 mesc { vypracovan prohla sen o aplikovatelnost: 2 mesce { vypracovan procedur: 4 { 6 mescu { vypracovan pracovnch instrukc: 5 { 9 mescu X Kritika { velka c asova naro cnost, absence znalosti nejlepsch postupu { projekt pravdepodobne selze dky nezkusenemu veden


|


40


2

Extern spoluprace, dokumenty vypracuj extern konzultanti X Typicky potrebna doba: 10 { 14 mescu

{ porozumen pozadavkum: 1 tyden { planov an :1 tyden { vypracovan politiky informacn bezpecnosti: 1 mesc { vypracovan prohla sen o aplikovatelnost: 2 mesce { vypracovan procedur: 3 { 5 mescu { vypracovan pracovnch instrukc: 4 { 6 mescu X Prnosy { rychle r esen, dostupnost znalosti nejlepsch postupu { projekt pravdepodobne neselze dky zkusenemu veden X Kritika { vysoke naklady { obtz ne r esitelne prub ez ne vylepsovan ISMS (Cyklus PDCA) Jan Staudek, FI MU Brno

|


41


2

Pouzit navod u a dokumentoveho nastroje pripraveneho tret stranou X r esen vlastnmi silami podle prototypu X prklady prototypu: www.itgovernance.co.uk X Typicky potrebna doba: 4 { 7 mescu

{ porozumen pozadavkum: 1 tyden { planov an :1 tyden { vypracovan politiky informacn bezpecnosti: 2 { 4 tydny { vypracovan prohla sen o aplikovatelnost: 2 mesce { vypracovan procedur: 1 { 2 mesce { vypracovan pracovnch instrukc: 2 { 4 mesce X Prnosy { rychle r esen, dostupnost znalosti nejlepsch postupu { nakladov e efektivn r esen { projekt pravdepodobne neselze dky postupu podle norem { snadneji r esitelne prub ez ne vylepsovan ISMS (Cyklus PDCA) Jan Staudek, FI MU Brno

|


42

Testovan

2

Proc se testuje ISMS ? X Funguj procedury r zen tak jak bylo zamy sleno ? X Funguj bezpecnostn opatren tak jak bylo zamy sleno ?

2

Typy testu X dukladn y audit (internm nebo externm) auditorem,

zkoumaj se dokumentovane procedury a demonstruje se jejich c innost X ,,paprove"testov an , logicke testovan opatren a procedur na zaklad e znalosti zranitelnost, konstrukc opatren, projevu hrozeb,. . . X realn e testovan , penetracn testy, testy ztraty energie, . . . X rozsahl e scen a rove orientovane testy { testy planu zachovan c innosti, 2

Behem roku se ma testovat kazdy rys, vlastnost, . . . ISMS Jan Staudek, FI MU Brno

|


43

Projekt implementace ISMS

Recommend Documents