Implementace bezpecnostni politiky v organizaci

1,912 views
1,835 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,912
On SlideShare
0
From Embeds
0
Number of Embeds
236
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • CEO – Chief Executive oficer CFO - Chief Financial oficer BE – Business executive CIO – Chief Innformation Oficer BPO - Busines Proces Owner HO - Head operatoins CA – Chief Architekt HD – Head Development HA Head Administrator PM – Projekt Management (office) C/A – Compliance/Audit
  • Implementace bezpecnostni politiky v organizaci

    1. 1. Implementace BEZPEČNOSTNÍ POLITIKY v organizaci RNDr. Luboš Číž, CISA, CISM [email_address] DCIT, a.s., http://www.dcit.cz
    2. 2. AGENDA Bezpečnostní politika – ví každý co to je? Postup implementace Nejlepší praktiky CO ZÍSKÁME? Zásady úspěšné implementace Typy bezpečnostních politik
    3. 3. Bezpečnostní politika – ví každý co to je? <ul><li>Organizační pohled </li></ul><ul><li>Personální pohled </li></ul><ul><li>Technický pohled </li></ul>
    4. 4. Typy bezpečnostních politik <ul><li>Promiskuitní bezpečnostní politika (vše dovoleno – bezpečnost se řeší mimo IT) </li></ul><ul><li>Liberální bezpečnostní politika ( každý může dělat vše, až na věci explicitně zakázané) </li></ul><ul><li>Opatrná /racionální/ bezpečnostní politika ( zakazuje dělat vše, co není explicitně povoleno) </li></ul><ul><li>Paranoidní bezpečnostní politika ( zakazující dělat vše i jen potenciálně nebezpečné) </li></ul>
    5. 5. Standardní postup při tvorbě a implementaci BP <ul><li>P ředběžná studie </li></ul><ul><li>Zadání, </li></ul><ul><li>analýza rizik, </li></ul><ul><li>bezpečnostní politika organizace, </li></ul><ul><li>realizace BP, </li></ul><ul><li>realizace a tvorba bezpečnostní dokumentace nižší úrovně, </li></ul><ul><li>průběžná realizace osvěty – udržování bezpečnostního povědomí z aměstnanců. </li></ul>
    6. 6. <ul><ul><li>IMPLEMENTACE </li></ul></ul><ul><ul><li>Odpovědnosti a kompetence </li></ul></ul><ul><ul><li>Výcvik, povědomí </li></ul></ul><ul><ul><li>komunikace </li></ul></ul><ul><ul><li>Dokumentace </li></ul></ul><ul><ul><li>Řízení operací </li></ul></ul><ul><ul><li>Připravenost na bezpečnostní </li></ul></ul><ul><ul><li>situace/schopnost </li></ul></ul><ul><ul><li>reakce </li></ul></ul><ul><ul><li>Monitorování a měření </li></ul></ul><ul><ul><li>Hodnocení systému </li></ul></ul><ul><ul><li>Neshody, nápravná </li></ul></ul><ul><ul><li>a preventivní opatření </li></ul></ul><ul><ul><li>Záznamy </li></ul></ul><ul><ul><li>Audity </li></ul></ul><ul><ul><li>Hodnocení nebezpečí </li></ul></ul><ul><ul><li>bezpečnostních rizik </li></ul></ul><ul><ul><li>Právní a jiné požadavky </li></ul></ul><ul><ul><li>Cíle a cílové hodnoty </li></ul></ul><ul><ul><li>Projekty na realizaci cílů </li></ul></ul><ul><ul><li>Přezkoumání vedením </li></ul></ul><ul><ul><li>Zlepšování </li></ul></ul>
    7. 7. Implementace vypracované BP <ul><li>Vždy přináší problémy! PROČ? </li></ul><ul><ul><li>Omezení jsou vidět ihned </li></ul></ul><ul><ul><li>Přínosy nejsou zřejmé </li></ul></ul><ul><li>Co pomáhá? </li></ul><ul><ul><ul><li>Ustavit odpovědnosti a kompetence </li></ul></ul></ul><ul><ul><ul><li>Výcvik, povědomí </li></ul></ul></ul><ul><ul><ul><ul><li>komunikace ! </li></ul></ul></ul></ul><ul><ul><ul><ul><li>komunikace !! </li></ul></ul></ul></ul><ul><ul><ul><ul><li>komunikace ? </li></ul></ul></ul></ul><ul><ul><ul><li>Dokumentace </li></ul></ul></ul><ul><ul><ul><li>Řízení provozu (i z hlediska bezpečnosti ICT) </li></ul></ul></ul><ul><ul><ul><li>Připravenost na bezpečnostní situace/schopnost reakce </li></ul></ul></ul>
    8. 8. Odpovědnosti a kompetence R esponsible, A ccountable, C onsulted, and/or I nformed Závisí na typu organizace CEO CFO BE CIO BPO HO CA HD HA PM C / A A ktivita                     Definovat a udržovat plán zabezpečení IT.   I   C   C   A   C   C   C   C   I   I   R Definovat, ustavit a provozovat proces řízení identit         I   A   C   R   R   I         C Sledovat potenciální a skutečné bezpečnostní incidenty.            A   I   R   C   C         R Pravidelně revidovat uživatelská přístupová práv a oprávnění            A   I   C               R Vytvořit a udržovat postupy pro udržení a zachování kryptografických klíčů.            A      R         I      C Zavést a udržovat technickou a procedurální ochranu informační toků v sítích            A   C   C   R   R         C Provádět pravidelné hodnocení zranitelností.      I      A   I   C   C   C         R
    9. 9. Výcvik, povědomí Slyšet Vidět
    10. 10. Dokumentace <ul><li>Bezpečnostní politika </li></ul><ul><li>Dokumentovaný rozsah ISMS </li></ul><ul><li>Zpráva o analýze rizik </li></ul><ul><li>Prohlášení o aplikování protiopatření </li></ul><ul><li>Plán zvládání rizik </li></ul><ul><li>Zpráva o řízení rizik </li></ul><ul><li>Systémová bezpečnostní politika </li></ul><ul><li>Smlouva o výměně informací </li></ul><ul><li>Zpráva o analýze stavu </li></ul><ul><li>Program zvyšování úrovně bezpečnosti </li></ul>
    11. 11. Řízení provozu <ul><li>zpracování a zacházení s informacemi; </li></ul><ul><li>zálohování dat </li></ul><ul><li>časové návaznosti zpracování, včetně vzájemných souvislostí s jinými systémy, čas začátku první a dokončení poslední úlohy; </li></ul><ul><li>popis činnosti při výskytu chyb nebo jiných mimořádných stavů, které by mohly vzniknout při běhu úlohy, včetně omezení na používání systémových nástrojů </li></ul><ul><li>spojení na kontaktní osoby v případě neočekávaných systémových nebo technických potíží; </li></ul><ul><li>instrukce pro zacházení se speciálními výstupy, jako například se speciálním spotřebním materiálem, správa důvěrných výstupů, včetně instrukcí pro nakládání s chybnými výstupy z aplikací v případě jejich selhání </li></ul><ul><li>postupy při restartu systému a obnovovací postupy v případě selhání systému </li></ul><ul><li>zpracování záznamů z auditu a systémových záznamů </li></ul>
    12. 12. Připravenost na bezpečnostní incidenty <ul><li>zpětná vazba na hlášení incidentu </li></ul><ul><li>formuláře podporující proces hlášení bezpečnostních událostí formuláře podporující proces hlášení bezpečnostních událostí </li></ul><ul><li>nastavení správného chování v případě bezpečnostní události </li></ul><ul><li>odkaz na zavedená formalizovaná pravidla pro disciplinární proces s těmi co způsobili narušení bezpečnosti. </li></ul>
    13. 13. Nejlepší praktiky <ul><li>Keep simply (jak je to jen možné) </li></ul><ul><li>Technika je spolehlivější než člověk (co lze vynutit technicky, vynuťte technicky) </li></ul><ul><li>Opakování je matka moudrosti </li></ul><ul><li>Důslednost, důslednost, důslednost! </li></ul>
    14. 14. CO ZÍSKÁME? <ul><li>PŘIMĚŘENOU BEZPEČNOSTNÍ KULTURU </li></ul><ul><li>CHOVÁNÍ A JEDNÁNÍ UŽIVATELŮ V SOULADU S BESPEČNOSTNÍMI CÍLY ORGANIZACE </li></ul>
    15. 15. Děkuji za pozornost <ul><li>Kontakt </li></ul><ul><li>[email_address] </li></ul><ul><li>[email_address] </li></ul>

    ×