ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI
Ing. Jiřina Petříková Informační technologie pro praxi 2011 6. října 2011
r
Bezpečnost informací • Zvyšuje se cena informací v oblasti soukromého podnikání i státní správy • Cílem řízení informační bezpečnosti je chránit data v jakékoliv podobě • Cena informací – výše škod v případě jejich ztráty, poškození, odcizení
Faktory ohrožující informační aktiva • Hrozby přírodního charakteru – Blesky, povodně, silný vítr …
• Lidský faktor jako zdroj rizik – Hrozby úmyslné, neúmyslné
– Metody sociálního inženýrství – Vnitřní hrozby
Cíle ISMS • ISMS zajišťuje ochranu tří základních vlastností informačních aktiv. Jedná se o: – dostupnost, – důvěrnost a – integritu.
• Cílem není snaha o „dokonalou“ bezpečnost
Principy zavádění ISMS v organizacích • Náklady na zavedení bezpečnostních opatření nesmí převyšovat cenu informačních aktiv • Odpovědnosti za implementaci a kontrolu bezpečnostních opatření musí být odděleny • Opatření nesmí být příliš restriktivní • Řízení informační bezpečnosti musí probíhat na všech úrovních organizace – veškerá rozhodnutí musí být podporována vrcholovým vedením
Postup zavádění ISMS • Klasifikace informačních aktiv • Analýza rizik • Návrh opatření (Plan)
• Implementace bezpečnosti (Do) • Monitorování (Check)
• Náprava nedostatků (Act)
Klasifikace informací • Identifikace aktiv – Stav hmotného a nehmotného majetku
• Ohodnocení aktiv – Náklady vzniklé porušením důvěrnosti, dostupnosti a integrity
7
Analýza rizik • Identifikace rizik, vztahujících se k daným aktivům: – Co se stane, když nebudou informace chráněny? – Jak může být porušena bezpečnost informací? – S jakou pravděpodobností se to může stát?
8
Návrh opatření • Slouží k nápravě zjištěných nedostatků • Opatření by mělo obsahovat: – Cíl – Popis činností – Termín realizace – Nároky na zdroje
• Častou chybou bývá přílišné zaměření na oblast technického zabezpečení 9
Implementace bezpečnosti • Zavedení bezpečnostních opatření do praxe – SW a HW řešení – Školení – Bezpečnostní procesy
10
Monitorování a zlepšování ISMS • Monitorování funkčnosti a efektivnosti zavedených opatření – Problém ve stanovení metrik – Např. počet virových incidentu, počet detekovaných útoků na systém, počet uživatelů, kteří při testovacích útocích prozradili důvěrné informace …
• V případě nedostatků jsou vykonána nápravná opatření 11
Cyklus PDCA
Zúčastněné strany
Zúčastněné strany
Plánuj Návrh ISMS
Dělej
Jednej
Zavádění a provozování ISMS
Udržování a zlepšování ISMS Kontroluj
Bezpečnost informací, požadavky a očekávání
Monitorování a přezkoumávání ISMS
12
Řízená bezpečnost informací
Přínosy ze zavedení ISMS • Splnění požadavků národní legislativy • Zajištění přehledu o významných informačních aktivech • Optimalizace nákladů na bezpečnostní opatření • Minimalizace rizika ekonomických ztrát
• Zvýšení důvěryhodnosti firmy • Vytvoření základu pro další zlepšování kvality služeb
Zdroje •
CHLUP, Marek. Hrozby? A co s nimi? Gity: Bezpečnost v kostce [online]. 2008 [cit. 201101-06]. Dostupný z WWW:
.
•
ČSN ISO/IEC 27001. Informační technologie – Bezpečnostní techniky: Systémy managementu bezpečnosti informací – Požadavky. Praha: Český normalizační institut, 2006. 36 s.
•
CHLUP, Marek. Zavedení systému řízení bezpečnosti - ISMS, model PDCA. Gity: Bezpečnost v kostce [online]. 2008 [cit. 2011-01-06]. Dostupný z WWW:
.
•
NÁDENÍČEK, Petr. Uživatel jako zdroj rizik a přístupy k jejich zvládání. SystemOnLine [online]. 2009 [cit. 2011-01-07]. Dostupný z WWW:
.
•
KOPÁČIK, I. a kol. Riadenie a audit v informačnej bezpečnosti. 1. vyd. Bratislava: TATE International Slovakia, 2007. 322 s. ISBN 978-80-969747-0-2.
•
ČSN ISO/IEC 17799. Informační technologie – Bezpečnostní techniky: Soubor postupů pro management bezpečnosti informací. Praha: Český normalizační institut, 2006. 102 s.
•
PETŘÍKOVÁ, J. Audit bezpečnosti informací podle normy ISO/IEC 27001:2005 : diplomová práce. Ostrava: VŠB – Technická univerzita Ostrava, Ekonomická fakulta, 2010. 73 s.
Děkuji za pozornost
r
