nauka o
srpen 2008 Ing. Jan Káda
ČSN ISO/IEC 27001:2006
(1) •
aktivum
•
důvěrnost
•
integrita
•
dostupnost
•
bezpečnost informací ochrana důvěrnosti, integrity a dostupnosti informací
•
systém managementu bezpečnosti informací
cokoliv,, co má p pro organizaci g hodnotu zajištění, že informace jsou přístupné pouze těm, kteří jsou k přístupu oprávněni zajištění správnosti a úplnosti informací a metod jejich zpracování zajištění, že informace je pro oprávněné uživatele přístupná v okamžiku její pot eby potřeby
část celkového systému managementu organizace, založená na přístupu ((organizace) g ) k rizikům činností,, která jje zaměřena na vybudování, y , zavádění, provoz, monitorování, přezkoumání, udržování a zlepšování
bezpečnosti informací
(2) •
událost (v ISMS )
•
incident (v ISMS )
•
riziko
•
zbytkové b k é riziko i ik riziko, které zůstává po ošetření rizik
•
akceptace k t rizika i ik
identifikovaný výskyt stavu, indikujícího možné narušení nebo chybu zabezpečení, nebo předem neznámá situace, které mohou mít vliv na bezpečnost informací v rámci systému, služby nebo sítě jednotlivý nebo řada nechtěných nebo neočekávaných událostí souvisejících j s bezpečností p informací, s významnou ý pravděpodobností, p p , že by mohly poškodit funkce organizace a ohrozit bezpečnost informací kombinace četnosti nebo pravděpodobnosti výskytu a následků určité nechtěné nebo neočekávané události
rozhodnutí přijmout riziko
(3) •
analýza rizik
•
hodnocení rizik
•
posuzování rizik celkový lk ý proces analýzy lý a hodnocení h d í rizik i ik
•
management rizik
systematické y používání informací k odhadu míryy rizika a k určení jjeho zdrojů p j proces porovnávání odhadnutého rizika vůči daným kritériím pro určení jeho významu
kkoordinované di é činnosti či ti sloužící l ží í k řízení ří í a kontrole k t l organizace i s ohledem hl d na rizika •
zvládání rizik
proces výběru a přijímání kontrol pro modifikaci rizika
(4) •
prohlášení o aplikovatelnosti
dokument popisující cíle kontrol a nástroje řízení, které jsou relevantní a aplikovatelné na systém managementu bezpečnosti informací organizace, a které jsou založeny na výsledcích a závěrech procesů hodnocení a zvládání rizik
(1) 0 Úvod
0.1 Všeobecně 0 2 Procesní přístup viz ISO 9001:2000 0.2 0.3 Kompatibilita s jinými systémy managementu
1 Předmět normy
1.1 Všeobecně 1.2 Aplikace 1.3 Kompatibilita s jinými systémy managementu
2 Normativní odkazy 3 Definice
(2) 4 Systém managementu bezpečnosti informací 4.1 Všeobecné požadavky 4.2 Budování a řízení ISMS
4.2.1 Ustavení ISMS 4.2.2 Zavedení a provozování ISMS 4.2.3 Monitorování a přezkoumání ISMS 4.2.4 Udržování a zlepšování ISMS
4 3 Požadavky na dokumentaci 4.3 4.3.1 Všeobecně 4.3.2 Řízení dokumentů 4.3.3 Řízení záznamů
5 Odpovědnost managementu
5.1 Osobní závazek managementu 5.2 Management zdrojů
5.2.1 Poskytování zdrojů 5.2.2 Školení, vědomí závažnosti a odborná způsobilost
(3) 6 Interní audity ISMS 7 Přezkoumání systému managementu ISMS 7.1 Všeobecně 7.2 Vstup pro přezkoumání 7.3 Výstup z přezkoumání 8 Zlepšování ISMS 8.1 Neustálé zlepšování 8.2 Opatření k nápravě 8 3 Preventivní 8.3 P ti í opatření tř í
A.7 Řízení aktiv
A.7.1 A 7 1 Odpovědnost Od ěd t za aktiva kti A 7.2 Klasifikace informací
A.8 Bezpečnost lidských zdrojů
A.8.1 Před zahájením j pracovního p poměru p A.8.2 V průběhu pracovního poměru A.8.3 Ukončení nebo změna pracovního poměru
A.9 Fyzická bezpečnost a bezpečnost prostředí A.9.1 Zabezpečení oblasti A.9.2 Bezpečnost zařízení
A.10 Řízení komunikace a řízení provozu A.10.1 Provozní postupy a odpovědnosti A 10 2 Řízení dodávek služeb třetí strany A.10.2 A.10.3 Plánování a akceptace systému A.10.4 Ochrana proti škodlivým a mobilním kódům A.10.5 Zálohování A 10 6 Správa bezpečnosti sítě A.10.6 A.10.7 Zacházení s médii A.10.8 Výměny informací A.10.9 Služby elektronického obchodování A 10 10 Monitorování A.10.10
A.11 Řízení přístupu
A.11.1 Požadavky na řízení přístupu A.11.2 Řízení přístupu uživatelů A.11.3 Odpovědnosti uživatelů A.11.4 Řízení přístupu k síti A.11.5 Řízení přístupu k operačnímu systému A.11.6 Řízení přístupu k informacím a aplikacím A:11.7 Mobilní výpočetní prostředky a práce na dálku
A.12 Sběr dat, vývoj a údržba
A.12.1 Požadavky na bezpečnost informačních systémů A 12 2 Správný postup v aplikacích A.12.2 A.12.3 Kryptografické prostředky A.12.4 Bezpečnost systémových souborů A.12.5 Bezpečnost procesů vývoje a podpory A 12 6 Management technické zranitelnosti A.12.6
A.13 Řízení incidentů v oblasti bezpečnosti informací A.13.1 Hlášení událostí a slabých míst A.13.2 Správa informačních incidentů a zlepšování
A.14 Sběr Sbě dat, d vývoj ý j a údržba úd žb
A.14.1 Aspekty bezpečnosti informací při řízení kontinuity činnosti organizace
A.15 Soulad s požadavky
A.15.1 Soulad s právními požadavky A.15.2 Posouzením shody s bezpečnostními politikami a normami a technické shody A.15.3 Aspekty auditu informačních systémů
Z hlediska možného ohrožení informační bezpečnosti jsou pro jednotlivá aktiva identifikována rizika realizace hrozeb pro zranitelná místa v dokumentu Hodnocení rizik v ISMS SP-ZI-24/2008(na www.signalprojekt.cz interní dokumentace) a analyzována jejich významnost pro jednotlivá aktiva.
Příslušná opatření a jejich realizace je uvedena v dokumentu Plán zvládání rizik SP-ZI-25/2008(na www.signalprojekt.cz interní dokumentace)
Pravidla pro nakládání s informacemi/daty Nakládání s informacemi (daty) se řídí těmito zásadami:
Kategorie 1
Pro tuto kategorii platí, že na pracovišti tyto informace v písemné formě mohou být volně uloženy. V digitální formě mohou být uloženy v nezabezpečených složkách PC nebo na přístupném CD.
Kategorie 2
Rovněž pro tuto kategorii nejsou stanovena zvláštní pravidla. Pro písemné originály je povinnost uložení v kancelářské skříňce.
Kategorie 3
Pro informace kategorie 3 a 4 je vždy stanoven omezený přístup z hlediska osob manipulace s nimi přísluší pouze vlastníkům. Musí být zajištěny dvojí zábranou - viz čl. 5.3
Kategorie 4
S těmito informacemi je oprávněn nakládat pouze ŘS.
Výpočetní technika Jednotný informační systém (síť) v rámci SIGNAL PROJEKTU S.R.O. není provozován. V jednotlivých lokalitách (projektová pracoviště, školicí středisko) jsou jednotlivé osobní počítače čít č navzájem áj propojeny j pro sdílení díl í dat d t bez b přístupu ří t vnějších ější h stran. t Na internetové stránce www.signalprojekt.cz je zřízena sekce INTERNÍ DOKUMENTY, která slouží k uložení řízené dokumentace IMS. Vstup do této sekce je pod heslem, které stanovuje AP. Veške é zásahy Veškeré ásah do struktury st kt a vybavenosti ba enosti p pracovišť aco išť p prostředky ostředk výpočetní ýpočetní technik techniky schvaluje sch al je ŘS Všechny prostředky výpočetní techniky jsou evidovány v "Evidenčním listu prostředků výpočetní techniky", který vede AP. V tomto záznamu jsou rovněž úplné údaje o programovém vybavení, vybavení toto může být doplňováno pouze se souhlasem členů RM a na základě relevantního podkladu o legálním původu příslušného programu. Ochrana proti působení škodlivých programů a antivirové vybavení je zajišťováno samostatně pro každý osobní počítač. Koordinaci a nákup zajišťuje AP po konzultaci s vedoucími pracovišť a pořízení schvaluje ŘS. ŘS Všechny prostředky výpočetní techniky jsou vlastnictvím SIGNAL PROJEKTU S.R.O. Nepřípustnost krádeže a vandalismu (poškození) se pak vztahuje na elektronickou podobu dat a informací stejně jako na fyzické prostředky. Především je zakázáno: Neautorizované kopírování i částí programového vybavení nebo dat dat, Změny konfigurace počítačů či jiných prostředků, které by mohly mít vliv na provoz. Poškození nebo zničení počítačových prostředků (počítačů, programového vybavení, komunikačních linek aj.). Uživatelé využívají počítačové prostředky společnosti ve shodě se svými pracovními úkoly úkoly.
Zásady pro práci s programovým vybavením
Programové vybavení (dále SW) v rámci počítačové sítě lze používat pouze v souladu s licenčními podmínkami jednotlivých produktů a pouze takové, které potřebuje pracovník k výkonu své pracovní činnosti. Za zákonné užívání programového vybavení s povinností oznámení instalace nového programového vybavení AP plně zodpovídá uživatel PC PC. Evidence programového vybavení vede AP v "Evidenčním list prostředků výpočetní techniky". V případě SW získaného darem, vlastní činností či nabytí ze zdrojů síti Internet (např. zkušební verze, shareware, freeware, public domain), se použití řídí licenčními podmínkami jednotlivých produktů a za jejich dodržování je zodpovědný uživatel PC. PC Zaměstnancům je zakázáno neautorizované kopírování i částí programového vybavení nebo dat, k nimž má SIGNAL PROJEKT S.R.O. vlastnická práva resp. práva k užívání. Zaměstnancům je zakázáno Provádět jakékoli akce, akce které vedou k narušení soukromí jiného uživatele, uživatele a to i v těch případech, kdy uživatel svá vlastní data explicitně nechrání. Kopírovat jakákoliv data nebo programy z uživatelských adresářů bez souhlasu jejich majitelů (to zahrnuje i samotné prohlížení těchto adresářů). Toto omezení platí i v případě, že uživatelské adresáře jsou svými majiteli ponechány volně přístupné elektronickými prostředky. Vědomě využívat programové vybavení a informace k dosažení cílů výše popsaným, případně takovéto programy či informace nabízet jiným. Využívat elektronických prostředků (především elektronické pošty) k obtěžování nebo zastrašování jiných uživatelů. Do této kategorie spadá i rozesílání řetězových dopisů či dopisů na náhodně vybrané adresy v síti. Používat počítačovou síť k získání neautorizovaného přístupu k neveřejným informačním zdrojům (i v majetku či správě jiných organizací). Zaměstnanci jsou povinni dodržovat politiku čistého stolu a čisté obrazovky. Při vzdálení se z pracoviště musí zabezpečit svoji pracovní stanici proti přístupu neoprávněných uživatelů a písemné dokumenty ukládat na místa stanovená v záznamu"Hodnocení rizik".
rizika úniku informací
riziko nekvalitního produktu
nebezpečí a rizika BOZP
environmentální aspekty
PROGRAMY EMS
PROGRAMY OHSMS
PLÁNY JAKOSTI
OPATŘENÍ KE ZVLÁDÁNÍ Á Á Í RIZIK
„“
ANALÝZA RIZIK
politika, záměry,strategie
§ právní požadavky
vyhledání slabých míst
stanovení cílů
přezkoumání, ř k á í - účinnost úči t
spokojený zákazník, vlastník, okolí, společnost
Integrovaný systém managementu jakost
environment bezpečnost a ochrana zdraví při práci bezpečnost informací
Dík za pozornostt Díky Ing. Jan Káda AŽD Praha s.r.o. Žirovnická 2/3146 106 1 17 7 Praha 10 tel. 267 287 410 606 626 652 fax 272 650 851
[email protected]
