Aplikace ISMS

- Obecně použ itelná a aplikovatelná ve vš ech organizací ch bez ohledu na

- Typ organizace

- Velikost organizace

- Povahu podnká ní

- Pokud ně které pož adavky nemohou bý t využ ity, mohou bý t vyř azeny, mimo:

- Obecný ch pož adavků na ISMS

- Odpově dnosti vedení

- Zhodnocení ISMS

- Zlepš ová ní ISMS

ISO/IEC 27002: 2005

- Sbí rka nejlepš í ch bezpeč nostní ch praktik z oblasti bezpeč nostni informací

- Mů ž e bý t využ ita jako kontrolní seznam

- Mezná rodní př ijatý standard

- 11 zá kladní ch oddí lů

- 39 cí lů opatř ení

- 100vky specifický ch opatř ení

Aplikovatelnost cí lů

- Cí lem není implementovat vš e, ale naplnit vš echny aplikovatelné cí le

- Mohou se objevit pož adavky např eformulová ní cí lů

- Vě tš ina z cí lů jsou obecně aplikovatelné

- Vhodná opatř ení jsou vybí rá na na zá kladě hodncoení rizik

11 zá kladní ch cí lů

- Bezpeč nostní politika (1)

- Organizace bezpeč nosti (2)

- Klasifikace a ř í zení aktiv (2)

- Bezpeč nost lidský ch zdrojů (3)

- Fyzická bezpeč nost a bezpeč nost prostř edí (2)

- Ř í zení komunikací a ř í zení provozu (10)

- Ř í zení př í stupu (7)

- Vý boj, ú drž ba a rozš í ř ení informač ní ho systé mu (6)

- Zvlá dá ní bezpeč nostní ch incidentů (2)

- Ř í zení kontinuity č inností organizace (1)

- Soulad s pož adavky (3)

Bezpeč ností politika (Bezpeč nostní politika informací)

- Cí l

- Definovat cí l a vyjá dř it podporu bezpeč nosti informací ze strany vedení

- Opatř ení

- Dokument bezpeč ností politiky informací

- Dokument obsahují cí politiku bezpeč nosti informací musí bý t shvá len vedoucí mi pracovní ky, zveř ejně n a vhodný m způ sobem sdě len vš em zamě stnanců m

- Revize a hodnocení

- Bezpeč nostní politika informací musí bý t pravidelně revidová na a v př í padě podstatný ch změ n má bý t zajiš tě na její aktualizace

Oraganizace bezpeč nosti (Vnitř ní organizace)

- Cí l

- Ř í dit bezpeč nost informací v oragnizaci

- Opatř ení

- Vý bor pro ř í zení bezpeč nosti informací

- Koordinace bezpeč nosti informací

- Př idě lení odpově dnosti v oblasti bezpeč nosti informací

- Schvalovací proces pro zař í zení zpracová vají cí informace

- Pož adavky na dů vě rné smlouvy

- Kontakt se subjekty stá tní sprá vy

- Kontakt s odborní ky

- Nezá vislá revize bezpeč nosti informací

Organizace bezpeč nosti (Tř etí strany)

- Cí l

- Zachovat bezpeč nost zař í zení pro zpracová ní informací a bezpeč nost informač ní ch aktiv organizace, pokud jsou př í stupné tř etí m straná m

- Opatř ení

- Identifikace rizik plynoucí ch z př í stupu tř etí ch stra

- Bezpeč nostní pož adavky tý kají cí se zá kazní ků

- Bezpeč nostní pož adavky ve smlouvě s tř etí stranou

Klasifikace a ř í zení aktiv (Odpově dnost za aktiva)

- Cí l

- Udž ovat př imě ř enou ochranu aktiv organizace

- Opatř ení

- Evidence aktiv

- Vlastnictví aktiv

- Použ ití aktiv

Klasifikace a ř í zení aktiv (Klasifikace informací)

- Cí l

- Zajiš tě ní př imě ř enosti ochrany informač ní ch aktiv

- Opatř ení

- Smě rnice pro kalsifikaci

- Znač ení ifnormací a manipulace s nimi

Bezpeč nost lidský ch zdrojů (Př ed zamě stná ní m)

- Cí l

- Zajiš tě ní, aby zamě stnanci, partneř i a už ivatelé tř tí ch stran rozumě li své odpově dnosti vyplý vají cí z pozice a sniž ovali riziko krá dež e, podvodu nebo zneuž ití prostř edků organizace

- Opatř ení

- Zahrnutí bezpeč nosti do pracovní ch povinnosti – role (pozice) a odpově dnost

- Prově ř ová ní uchazeč ů

- Pravidla a podmí nky praocvní č innosti (zamě stná ní)

Bezpeč nost lidský ch zdrojů (Bě hem zamě stná ní)

- Cí l

- Zajistit, aby už ivatelé si byli vě domi bezpeč nostní ch hrozeb a otá zek s nimi spjatý ch a byli př ipraveni se podí let na dodrž ová ní bezpeč nostní politiky bezpeč nosti informací v prů bě hu své bě ž né prá ce a sniž ovali riziko lidské chyby

- Opatř ení

- Odpově dnosti managementu

- Vzdě lá vá ní a š kolení v oblasti bezpeč nosti informací

- Discipliná rní ř í zení

Bezpeč nost lidský ch zdrojů (Změ na nebo ukonč ení)

- Cí l

- Zajiš tě ní, aby zamě stnanci, partneř i a ú č astní ci tř etí strany změ nili nebo ukonč ili pracovní vztah ř á dný m způ sobem

- Opatř ení

- Ukonč ení pracovní ho vztahu (pož adavky)

- Navrá cení majetku

- Odstraně ní př í stupový ch prá v

Fyzická bezpeč nost a bezpeč nost prostř edí (Zabezpeč ení oblasti)

- Cí l

- Př edchá zet neoprá vně né mu př í stup do vymezený ch prostor, př edchá zet poš kození a zá sahů m do informací organizace

- Opatř ení

- Fyzická bezpeč nostní perimetr

- Fyzická kontrola vstupu osob

- Zabezpeč ení kancelá ř í, mí stností a zař í zení

- Ochrana př ed vně jš í mi hrozbami

- Prá ce v zabezpeč ený ch oblastech

- Oblasti veř ejné ho př í stupu, prostory pro ná kaldku a vyklá dku

Fyzická bezpeč nost a bezpeč nost prostř edí (Bezpeč nost zař í zení)

- Cí l

- Př edchá zet ztrá tě, poš kození nebo prozrazení aktiv a př eruš ení č innosti organizace

- Opatř ení

- Umí stě ní zař í zení a jeho ochrana

- Dodá vky energie

- Bezpeč nost kabelá ž e

- Ú drž ba zař í zení

- Bezpeč nost zař í zení mimo objekt organizace

- Bezpeč ná likvidace nebo opakované použ ití zař í zení

- Autorizované odstraně ní č i př emí stě ní zař í zení

Ř í zení komunikací a ř í zení provozu (Provozní postupy a odpově dnosti)

- Cí l

- Zajistit sprá vný a bezpeč ný provoz prostř edků pro zpracová ní informací

- Opatř ení

- Dokumentace provozní ch postupů

- Ř í zení provozní ch změ n

- Oddě lení povinností

- Oddě lení vý voje a testová ní od provozu

Ř í zení komunikací a ř í zení provozu (Poskytová ní služ eb tř etí stranou)

- Cí l

- Zavé st a udrž et odpoví dají cí ú roveň bezpeč nosti informací v souladu se smlouvami o poskytová ní m služ eb tř etí stranou

- Prostř edky

- Ř í zení dodá vky poskytnutý ch služ eb

- Sledová ní a př ezkoumá ní služ eb

- Ř í zení změ ny poskytnutý ch služ eb

Ř í zení komunikací a ř í zení provozu (Plá nová ní a akceptace systé mu)

- Cí l

- Minimalizovat riziko selhá ní systé mu

- Opatř ení

- Plá nová ní kapacit

- Akceptace systé mu

Ř í zení komunikací a ř í zení provozu (Ochrana proti š kodlivý m programů m)

- Cí l

- Chrá nit integritu SW a dat

- Opatř ení

- Ná stroje a optř ení proti š kodlivé mu kó du

- Ná stroje proti mobilní m kó dů m

Ř í zení komunikací a ř í zení provozu (Zá lohová ní)

- Cí l

- Udrž ovat integritu a dostupnost informací a informač ní ch služ eb

- Opatř ení

- Zá lohová ní informací

Ř í zení komunikací a ř í zení provozu (Sprá va bezpeč nosti sí tě)

- Cí l

- Zajistit ochranu informací v poč í tač ový ch sí tí ch a ochranu jejich infrastruktury

- Opatř ení

- Sí ť ová opatř ení, kontrola sí tě

- Bezpeč nost sí ť ový ch služ eb

Ř í zení komunikací a ř í zení provozu (Bezpeč nosti př i zachá zení s mé dii)

- Cí l

- Př edchá zet poš kození aktiv a př eruš ení č innosti organizace

- Opatř ení

- Sprá va vymě nitelný ch mé dií

- Likvidace mé dií

- Postupy pro manipulaci s informacemi

- Bezpeč nost systé mové dokumentace

Ř í zení komunikací a ř í zení provozu (Vý mě na informací)

- Cí l

- Zajiš tě ní bezpeč nosti př i vý mě ně informací a SQ v rá mci organizace I mimo organizaci

- Opatř ení

- Politiky a postupy pro vý mě nu informací

- Dohody o vý mě ně informací a SW

- Fyzická bezpeč nost mé dií př i př epravě

- Elktronické zasí lá ní zprá v

- Podnikové informač ní systé my

Ř í zení komunikací a ř í zení provozu (Monitoring)

- Cí l

- Detekce neautorizovaný ch č inností

- Opatř ení

- Auditní zá znamy, logy

- Sledová ní použ í vá ní systé mu

- Cohrana vytvoř ený ch zá znamů

- Administrá torský a provozní dení k (logy)

- Zá znamy selhá ní

- Synchronizace č asu

Ř í zení př í stupu (Pož adavky na ř í zení př í stupu)

- Cí l

- Ř í dit př í stup k informací m

- Př í stup k informací m a podnikový m postupů m musí bý t ř í zen na zá kladě politiky bezpeč nosti informací a celkové strategie organizace

- Opatř ení

- Politika ř í zení př í stupu

Ř í zení př í stupu (Ř í zení př í stupu už ivatelů)

- Cí l

- Př edchá zet neoprá vně né mu př í stupu k informač ní m systé mů m a informací m

- Opatř ení

- Registrace už ivatele

- Ř í zení privilé gií

- Sprá va už ivatelský ch hesel

- Kontrola př í stupový ch prá v už ivatelů

Ř í zení př í stupu (odpově dnosti už ivatelů)

- Cí l

- Př edchá zet neoprá vně né mu už ivatelské mu př í stupu

- Opatř ení

- Použ í vá ní hesel

- Neobsluhovaná už ivatelská zař í zení

- Politika prá zdné ho stolu a obrazovky

Ř í zení př í stupu (Ř í zení př í stupu k sí ti)

- Cí l

- Prevence př ed neautorizavný m př í stupem k sí ť ový m služ bá m

- Opatř ení

- Politika už ití sí ť ový ch služ eb

- Autentizace už ivatele externí ho př ipojení ¨ Identifikace (autentizace) zař í zení v sí ti (uzlů)

- Vzdá lená diagnostika a ochrana konfigurace portů

- Oddě lení sí tí

- Ř í zení sí ť ový ch spojení

- Ř í zení smě rová ní sí tě

Ř í zení př í stupu (Ř í zení př í stupu k OS)

- Cí l

- Př edchá zet neoprá vně né mu př í stupu k poč í tač ů m (k OS)

- Opatř ení

- Bezepč ný postup př ihlá š ení

- Identifikace a autentizace už ivatele

- Systé m sprá vy hesel

- Použ ití systé mový ch ná strojů

- Ukonč ení platnosti spojení (session time-out)

- Č asové omezení spojení

Ř í zení př í stupu (Ř í zení př í stupu k aplikací m a informací m)

- Cí l

- Př edchá zet neoprá vně né mu př í stupu k informací m ulož ený ch v aplikací ch

- Opatř ení

- Omezení př í stupu k informací m

- Oddě lení (izolace) citlivý ch systé mů

Ř í zení př í stupu (Mobilní vý poč etní prostř edí a prá ce na dá lku)

- Cí l

- Zajistit bezpeč nost informací př i použ ití mobilní vý poč etní techniky a př i využ ití prostř edků pro prá ci na dá lku

- Opatř ení

- Prá ce s mobilní mi vý poč etní mi a komunikač ní mi prostř edky

- Prá ce na dá lku

Vý voj a ú drž ba systé mu (Bezpeč nostní pož adavky systé mu)

- Cí l

- Zajsitit implementaci bezpenosti do informač ní ch systé mů

- Opatř ení

- Analý za a pecifikace bezpeč nostní ch pož adavků

Vý voj a ú drž ba systé mu (Bezpeč nost v aplikací ch)

- Cí l

- Př edchá zet ztrá tě, modifikaci nebo znuž ití informací v aplikací ch

- Opatř ení

- Validace vstupní ch dat

- Kontrola vnitř ní ch zpracová ní

- Autentizace zprá vy (zabezpeč ení integrity zprá vy)

- Validace vý stupní ch dat

Vý voj a ú drž ba systé mu (Kryptografická opatř ení)

- Cí l

- Ochrá nit dů vě rnost, autentič nost nebo integritu informací

- Opatř ení

- Pravidla použ ití kryptografický ch opatř ení

- Sprá va š ifrovací ch klí č ů

Vý voj a ú drž ba systé mu (Bezpeč nost systé mový ch souborů)

- Cí l

- Zajsitit bezpeč nost systé mový ch souborů

- Opatř ení

- Sprá va provozní ho SW

- Ochrana systé mový ch testovací ch dat

- Ř í zení př í stupu ke zdrojový m kó dů m

Vý voj a ú drž ba systé mu (Bezpeč nost procesů vý voje a podpory)

- Cí l

- Udrž ovat bezpeč nost apliakč ní ch programů a informací

- Opatř ení

- Postupy ř í zení změ n

- Technická posouzení změ n aplikací nebo OS

- Omezení změ n programovací ch balí ků

- Prevence př ed ú nikem informací

- Programové vybavení vyví jené externí m doavatelem

Vý voj a ú drž ba systé mu (Sprá va technické zranitelnosti)

- Cí l

- Minimalizovat rizika vyplý vají cí z publikovaný ch technický ch zranitelností

- Opatř ení

- Sprá va technický ch zranitelností

Zvlá dá ní bezpeč nostní ch incidentů (Hlá š ení udá losti a bezpeč nostní ch slabin)

- Cí l

- Zajistit, aby byly vč as komuniková ny mimoř á dné udá losti

- Opatř ení

- Hlá š ení udá lostí tý kají cí ch se ISMS

- Hlá š ení bezpeč nostní ch slabin

Zvlá dá ní bezpeč nostní ch incidentů (Ř í zení incidentů a zlepš ová ní)

- Cí l

- Zajistit, aby byl apliková n konzistentní a fektivní př í stuú k ř í zení incidentů bezpeč nosti informací

- Opatř ení

- Postupy a odpově dnosti

- Ponauč ení z bezpeč nostní ch incidentů

- Shromaž ď ová ní a uchová vá ní dů kazů

Ř í zení kontinuity podnikatelský ch č inností (Aspekty ř í zení kontinuity podnikatelský ch č inností)

- Cí l

- Brá nit př eruš ení podniaktelský ch č inností a chrá nit kritické procesy organizace př ed ná sedky zá važ ný ch chyb a katastrof

- Opatř ení

- Zahrnutí bezpeč nosti informací do kontinuitní ho procesu podnikatelské č innosti

- Kontinuita podniaktelské č innosti a ohodnocení rzik

- Vý voj a implementace kontinuá lní ho plá nu obsahují cí bezpeč nosti informací

- Rá mec plá nová ní kontinuity podnikatelské č innosti

- Testová ní, udrž ová ní a př ehodnocová ní plá nů kontinuity

Soulad s pož adavky (Soulad s prá vní mi normami)

- Cí l

- Vyvarovat se poruš ení norem trestní ho nebo obč asnké ho prá va, zá konný ch nebo smluvní ch povinností a bezpeč nostní ch pož adavků

- Opatř ení

- Urč ení relativní legislativy

- Zá kony na ochranu duš evní ho vlastnictví

- Ochrana zá znamů organizace

- Ochrana dat a soukromí osobní ch informací

- Prevence zneuž ití prostř edků pro zpracová ní informací

- Regulace kryptografický ch opatř ení

Soulad s pož adavky (posouzení bezpeč nostní politiky a technické shody)

- Cí l

- Zajistit shodu systé mu a bezpeč nostní politikou organizace a normami

- Opatř ení

- Shoda s bezpeč nostní politikou a standardy

- Kontrola technické shody

Soulad s pož adavky (Aspekty audity informač ní ho systé mu)

- Cí l

- Maximalizovat efektivitu a minimalizovat interferenci př i prová dě ní auditu systé mu

- Opatř ení

- Opatř ení k auditu IS

- Ochrana ná strjů auditu IS

8. Mobilní ICT

Mobilní ICT

- Mobilita – vznik s př enosný mi poč í tač i (notebooky), kdy už ivatel mů ž e pracovat mimo své standardní pracovní mí sto

- Prvotně – pouze mobilní už ivatel bez konektivity

- Pozdě ji – Omezená konektivita – př ipojení mí sto LAN, Dial-Up (telefon – modem)

- Postupně technologie s vý raznou pdoporou mobility (Wi-Fi, WiMAX, mobilní sí tě)

- Pozná mka: PAN (IrDa, Bluetooth, …, Wi-Fi)

- Vý poč etní model a mobilní už ivatel (viz ZS)

- …network centric computing, server based computing, utility computing, …

· Aplikace je umí stě na (jako data např. ve formě apletu) na vhodné m serveru v sí ti

· Problé m – musí bý t vysoká propustnost

· Aplikace je spuš tě na a bě ž í u už ivatele, na jeho NC

· Po použ ití se aplikace jednoduš e zahodí (vymaž e z NC)

· Cesta sniž ovní TCO (ná kladů na provoz) skrze NC se uká zala jako nepř í liš schů dná

· Dalš í pokus se ubí ral cestou ná vratu k plné centralizaci

· Ná vrat k modelu host/interval – ale bez jeho problé mů s ní zkou už ivatelskou př í tulností

· Dalš í motivace

· Snaha umož nit použ ití I jiný ch zař í zení než jen PC

· Technické př edpoklady:

· Naš la se ř eš ení, která umož ň ují vzdá lený terminá lový př í stup v grafické m rež imu, př i ú nosný ch ná rocí ch na př enosovou kapacitu

· X Window

· Citrix ICA, MetaFame, WinFame

· MS Terminal Server (ex Hydra)

· Pozorová ní

· V hostingový ch centrech (telehousech, …) je dostupné vš e (konektivita, vý poč etní kapacita, prostor pro data, aplikace, …) v takové mí ř e, v jaké to zá kazní k pož aduje/potř ebuje

· Lze prů bě ž ně “př idá vat” I “ubí rat” podle momentá lní potř eby

· Bez “poř izovací ch ná kladů ”, pouze s lineá rní mi poplatky za objem skuteč ně využ itý ch zdrojů

· Př edpoklad:

· Jednotlivé zdroje (vý poč etní kapacita, pamě ť, konektivita, …) jsou tzv. Virtualizová ny

· Oddě leny od své “hmotné podstaty” a nabí zeny ako libovolně š ká lovatelná služ ba

· Dů sledek

· Už ivatel mů ž e prů bě ž ně “konzumovat” zdroje v takové mí ř e, jaká odpoví dá jeho momentá lní m potř ebá m

· Stylem: jako když spotř ebová vá vodu (elektř inu, plyn, …)

· Pustí si jí tolik, kolik prá vě potř ebuje, platí podle spotř ebované ho objemu

· Utility compuring:

· Je takový “vý poč etní model”, kdy zá kazní k “konzumuje” vý poeč tní a sí ť ové zdroje na principu “utility” (zdroje typu elektř iny, plynu, vody, …)