ISMS - PowerPoint PPT Presentation

About This Presentation
Title:

ISMS

Description:

ISMS zaveden syst mu zen bezpe nosti informac Marek Chlup – PowerPoint PPT presentation

Number of Views:93
Avg rating:3.0/5.0
Slides: 13
Provided by: Marek71
Category:
Tags: isms | norma

less

Transcript and Presenter's Notes

Title: ISMS


1
  • ISMS
  • zavedení systému rízení bezpecnosti informací
  • Marek Chlup

2
ISMS
  • Co je ISMS?
  • ISMS je mezinárodní norma Information Security
    Management Systems, tedy norma pro zavedení
    systému rízení bezpecnosti informací
  • Cíle a opatrení obsažená v této norme by mela být
    implementována na základe požadavku zjištených v
    rámci analýzy rizik
  • Slouží jako praktický pruvodce pri vývoji
    bezpecnostních standardu organizace
  • Je harmonizována s ISO normami 90012000, ISO
    140012004

3
ISMS
  • Proc ISMS?
  • Aktiva, co to je?
  • Bezpecnost informací, co to je?
  • ISMS umožní dosáhnout bezpecnosti informací
    implementováním soustavy opatrení, která mohou
    existovat ve forme pravidel, postupu, procedur,
    organizacní struktury, programových a
    hardwarových funkcí.
  • Tato opatrení jsou ustavena, zavedena,
    provozována a prezkoumávána, prípadne zlepšována,
    címž dochází k dosažení bezpecnostních cílu
    organizace.

4
ISMS
  • Jak na ISMS
  • Norma nabízí implementacní a provozní model PDCA
  • Tento model využívá v implementaci a následném
    používání ISMS princip 4 kroku Plánuj (Plann) -
    Delej (Do) - Kontroluj (Check) - Jednej (Act)

5
ISMS
  • Normy a standardy základní schéma

ISO/IEC 27000
Slovník a definice
BS 7792-2
ISO/IEC 27001
Požadavky na ISMS
BS 7792-1
ISO/IEC 17799
ISO/IEC 27002
Katalog bezpecnostních opatrení
ISO/IEC 27003
Návod k implementaci ISMS
ISO/IEC 27004
Management merení a rizik
ISO/IEC 27005
Management rizik
BS 7792-3
ISO/IEC 27006
Havarijní plánování a metody obnovy
6
ISMS
  • Krok Plánuj
  • Krok plánuj stojí na pocátku implementace ISMS
  • Má strategický význam v celém procesu zavádení
    normy
  • Hlavním úkolem tohoto kroku je vymezení rozsahu
    implementace (Projekt bezpecnosti)
  • Druhým úkolem je analyzování kritických komponent
    systému v organizaci (Analýza rizik)
  • Tretím úkolem je návrh vhodných protiopatrení
    (Výber protiopatrení)
  • Projekt bezpecnosti definuje celkovou koncepci
    bezpecnosti v organizaci a vuli organizace se
    touto problematikou zabývat. Vymezuje rozsah
    projektu a alokuje predpokládané zdroje (lidské a
    financní)
  • Analýza rizik - bez znalosti rizik, které
    ohrožují IS, není možné zavést a rídit smysluplne
    bezpecnost. Analýza rizik je tak nutnou
    podmínkou. Existuje nekolik základních metod pro
    vedení analýzy rizik, napríklad základní,
    detailní, kombinovaná. Výber metodiky je treba
    vždy posoudit pro konkrétní organizaci a
    prostredí, platí však, že nejcasteji využívaná je
    metoda kombinovaná.
  • Výber protiopatrení prímo navazuje na Analýzu
    rizik a popisuje vhodná protiopatrení proti
    rizikum nalezeným v analýze rizik. Soucástí je
    dokument Plán implementace.

7
ISMS
  • 2. Krok Delej
  • Krok delej reší implementaci nápravných opatrení
  • Dále reší tvorbu nutné dokumentace
  • Bezpecnostní dokumentace v rámci certifikace
    ISMS jsou taxativne vyžadovány nekteré typy
    bezpecnostní dokumenty, ale jejich rozsah, obsah
    a forma muže být ponechána na preferencích firem.
    Rozsah bezpecnostní dokumentace závisí na
    velikosti spolecnosti. Ve velkém celku je však
    vhodné vypracovat podrobné administrativní
    procedury, nebot existuje více oddelených rolí a
    odpovedností a více definovaných pravidel. Rozsah
    a aktuálnost bezpecnostní dokumentace bývá jedním
    z klícových kritérií pri posuzování kvality ISMS
    a míry dosažené shody s požadavky normy.Pro
    velkou firmu by melo být samozrejmostí (navíc
    vyplývající z normy) provádet pravidelné revize
    bezpecnostní dokumentace, napríklad jedenkrát za
    rok, nebo pri každé zásadní zmene v rámci IS.
  • Nároky na provoz opatrení a zajištení bezpecnosti
    kritický dokument, který definuje nároky na
    opatrení zjištených nedostatku (lidské a
    financní). Pro velkou firmu je tento dokument
    nezbytností. Musí být plánován v delší casové ose
    s individuálním rozpoctem. Možností je využití
    služeb externích organizací (outsourcing). Vždy
    je nezbytné provádet minimálne jedenkrát za rok
    revizi a aktualizaci.

8
ISMS
  • 3. Krok Kontroluj
  • Krok kontroluj reší kontrolu nasazení a
    efektivity protiopatrení
  • Dále reší nasazení systému monitorování
  • Monitorování provozu a testování monitorování
    klícové cásti IS a ochranných opatrení je
    klícovým zdrojem informací pro kontrolu
    funkcnosti a úspešnosti jejich nasazení. Pro
    organizaci s rozsáhlým IS je nezbytností
    centralizovaný a automatizovaný monitoring
    provozu ICT, který vyhodnocuje logy a záznamy
    událostí. Soucástí monitoringu provozu musí být
    pravidelné testování zranitelností, napríklad
    penetracní testy (simulace útoku hackeru zvencí)
  • Kontrola bezpecnostních opatrení opatrení,
    které popisuje plán pravidelného testování a
    porovnání stavu reality ICT s plánem implementace
    schválených protiopatrení. V prípade certifikace
    ISMS je toto opatrení nezbytné. Vzhledem k tomu,
    že tato cinnost je pro velkou organizaci nárocná,
    doporucuje se zrídit funkci interního auditora,
    jehož cinnost bude zahrnovat namátkové i
    plánované kontroly dle plánu auditu. Vhodné je k
    celkovému rocnímu srovnávacímu auditu prizvat i
    externího auditora.
  • Revize efektivnosti a adekvátnosti ISMS doplnek
    k overení funkcnosti, spolehlivosti a úplnosti
    všech implementovaných opatrení. Jedná se o
    srovnávací audit stavu ISMS s normou. Dále
    posouzení zbytkových rizik a akceptovaných rizik.

9
ISMS
  • 4. Krok Jednej
  • Tato fáze má tri kritické body. Obecne je možné
    ríci, že klícovým úkolem 4. kroku je vyhodnotit
    výsledky auditu a kontrol funkcnosti
    bezpecnostních opatrení i samotného ISMS a
    nastartovat další cyklus PDCA.
  • Vyhodnocení fáze Kontroluj prímo navazuje na
    predchozí krok, kdy dochází k prubežné revizi
    výsledku monitoringu provozu, bezpecnostních
    systému (napríklad IDS), incidentu, chyb a jejich
    rešení. Velké organizaci se vyplatí v této fázi
    zavést fórum pro bezpecnost informací složené
    ze zástupcu uživatelu a vlastníku klícových rolí
    ve spolecnosti.
  • Identifikace a analýza neshod úkolem tohoto
    opatrení je rozebrat výsledky interního (i
    externího) auditu a posoudit, které z nalezených
    neshod jsou reálné a které pouze potenciální.
    Výsledkem je tabulka, která podrobne popisuje
    identifikované neshody a príslušná nápravná
    opatrení. Dochází tak neustálému upresnování
    kritických míst systému. Ve velké organizaci se
    doporucuje tento proces formalizovat a v rámci
    periodicity PDCA modelu jej aplikovat.
  • Nápravná a preventivní opatrení nápravná
    opatrení slouží k odstranení nalezených
    nedostatku a chyb spojených s implementací a
    provozem ISMS. Napríklad se muže jednat o
    nedostatecné proškolení uživatelu.

10
ISMS
  • Implementovat ci Certifikovat?
  • Co se týká zavedení ISMS, je odpoved pomerne
    jednoduchá. Ano, zavést ISMS, zvlášte tam, kde
    cíle a strategie firmy závisí na IS a datech v
    nich obsažených a také tam, kde je treba zarucit
    integritu, dostupnost a duvernost informací.
  • Certifikace ISMS je další palcivou otázkou.
    Vzhledem k narustající závislosti firem na IS,
    sdílení a propojování dat v rámci firmy, je ISMS
    certifikát chápán, jako stupen záruky. Na druhou
    stranu je treba si uvedomit, že dovést
    implementaci ISMS až k certifikaci, bude znamenat
    financní prostredky.
  • Povestnou rucickou na vahách muže být zjištení,
    že tam, kde jej již certifikován jiný systém
    rízení (ISO, QMS) je zavedení systému ISMS mnohem
    jednodušší. ISMS je plne harmonizován s temito
    systémy rízení.

11
ISMS
  • Prínosy implementace ISMS
  • Je treba zcela jasne ríci, že zavedení a údržba
    ISMS prináší pro organizaci urcitý nárust
    režijních kapacit. Je to ale za cenu toho, že
    veškeré bezpecnostní cinnosti se stávají soucástí
    bežných návyku uživatelu a jsou nedílnou soucástí
    organizace spolecnosti. Mezi hlavní prínosy
    implementace ISMS, mimo výše uvedených duvodu,
    lze ješte zaradit
  • - soulad s legislativními a právními predpisy
    (napr. ochrana osobních údaju)
  • - konkurencní výhody, zlepšení image
    spolecnosti
  • - snížení rizik souvisejících s nedostupností
    informací, s jejich únikem ci ztrátou
  • - vyhledání slabých míst organizace, optimální
    rozložení nákladu na zvýšení bezpecnosti
    informací a jejich minimalizace
  • - rešení v kontextu s CSN EN rady 9000 a 14000
  • Bezpecnost je, jak ríká otrepaná fráze nikdy
    nekoncící proces. Model PDCA systému ISMS
    napomáhá tento proces rídit a udržovat.

12
GiTy - BEZPECNOST
  • Dekuji za pozornost..
Write a Comment
User Comments (0)
About PowerShow.com
Home About Us Terms and Conditions Privacy Policy Presentation Removal Request Contact Us
Copyright 2024 CrystalGraphics, Inc. — All rights Reserved. PowerShow.com is a trademark of CrystalGraphics, Inc.
The PowerPoint PPT presentation: "ISMS" is the property of its rightful owner.
Do you have PowerPoint slides to share? If so, share your PPT presentation slides online with PowerShow.com. It's FREE!