Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Implementace  BEZPEČNOSTNÍ POLITIKY  v organizaci RNDr. Luboš Číž, CISA, CISM [email_address] DCIT, a.s., http://www.dcit.cz
AGENDA Bezpečnostní politika – ví každý co to je? Postup implementace Nejlepší praktiky CO  ZÍSKÁME? Zásady úspěšné implem...
Bezpečnostní politika – ví každý co to je? <ul><li>Organizační pohled </li></ul><ul><li>Personální pohled </li></ul><ul><l...
Typy bezpečnostních politik <ul><li>Promiskuitní  bezpečnostní politika (vše dovoleno – bezpečnost se řeší mimo IT) </li><...
Standardní postup při tvorbě a implementaci BP <ul><li>P ředběžná studie </li></ul><ul><li>Zadání, </li></ul><ul><li>analý...
<ul><ul><li>IMPLEMENTACE </li></ul></ul><ul><ul><li>Odpovědnosti a    kompetence </li></ul></ul><ul><ul><li>Výcvik, povědo...
Implementace  vypracované BP <ul><li>Vždy přináší problémy! PROČ? </li></ul><ul><ul><li>Omezení jsou vidět ihned </li></ul...
Odpovědnosti a  kompetence R esponsible,  A ccountable,  C onsulted, and/or  I nformed  Závisí na typu organizace CEO CFO ...
Výcvik, povědomí Slyšet Vidět
Dokumentace <ul><li>Bezpečnostní politika </li></ul><ul><li>Dokumentovaný rozsah ISMS </li></ul><ul><li>Zpráva o analýze r...
Řízení provozu <ul><li>zpracování a zacházení s informacemi; </li></ul><ul><li>zálohování dat </li></ul><ul><li>časové náv...
Připravenost na bezpečnostní incidenty <ul><li>zpětná vazba na hlášení incidentu </li></ul><ul><li>formuláře podporující p...
Nejlepší praktiky <ul><li>Keep simply (jak je to jen možné) </li></ul><ul><li>Technika je spolehlivější než člověk  (co lz...
CO ZÍSKÁME? <ul><li>PŘIMĚŘENOU BEZPEČNOSTNÍ KULTURU </li></ul><ul><li>CHOVÁNÍ A JEDNÁNÍ  UŽIVATELŮ V SOULADU S BESPEČNOSTN...
Děkuji za pozornost <ul><li>Kontakt </li></ul><ul><li>[email_address] </li></ul><ul><li>[email_address] </li></ul>
Upcoming SlideShare
Loading in …5
×

Implementace bezpecnostni politiky v organizaci

2,115 views

Published on

Published in: Technology
  • Be the first to comment

Implementace bezpecnostni politiky v organizaci

  1. 1. Implementace BEZPEČNOSTNÍ POLITIKY v organizaci RNDr. Luboš Číž, CISA, CISM [email_address] DCIT, a.s., http://www.dcit.cz
  2. 2. AGENDA Bezpečnostní politika – ví každý co to je? Postup implementace Nejlepší praktiky CO ZÍSKÁME? Zásady úspěšné implementace Typy bezpečnostních politik
  3. 3. Bezpečnostní politika – ví každý co to je? <ul><li>Organizační pohled </li></ul><ul><li>Personální pohled </li></ul><ul><li>Technický pohled </li></ul>
  4. 4. Typy bezpečnostních politik <ul><li>Promiskuitní bezpečnostní politika (vše dovoleno – bezpečnost se řeší mimo IT) </li></ul><ul><li>Liberální bezpečnostní politika ( každý může dělat vše, až na věci explicitně zakázané) </li></ul><ul><li>Opatrná /racionální/ bezpečnostní politika ( zakazuje dělat vše, co není explicitně povoleno) </li></ul><ul><li>Paranoidní bezpečnostní politika ( zakazující dělat vše i jen potenciálně nebezpečné) </li></ul>
  5. 5. Standardní postup při tvorbě a implementaci BP <ul><li>P ředběžná studie </li></ul><ul><li>Zadání, </li></ul><ul><li>analýza rizik, </li></ul><ul><li>bezpečnostní politika organizace, </li></ul><ul><li>realizace BP, </li></ul><ul><li>realizace a tvorba bezpečnostní dokumentace nižší úrovně, </li></ul><ul><li>průběžná realizace osvěty – udržování bezpečnostního povědomí z aměstnanců. </li></ul>
  6. 6. <ul><ul><li>IMPLEMENTACE </li></ul></ul><ul><ul><li>Odpovědnosti a kompetence </li></ul></ul><ul><ul><li>Výcvik, povědomí </li></ul></ul><ul><ul><li>komunikace </li></ul></ul><ul><ul><li>Dokumentace </li></ul></ul><ul><ul><li>Řízení operací </li></ul></ul><ul><ul><li>Připravenost na bezpečnostní </li></ul></ul><ul><ul><li>situace/schopnost </li></ul></ul><ul><ul><li>reakce </li></ul></ul><ul><ul><li>Monitorování a měření </li></ul></ul><ul><ul><li>Hodnocení systému </li></ul></ul><ul><ul><li>Neshody, nápravná </li></ul></ul><ul><ul><li>a preventivní opatření </li></ul></ul><ul><ul><li>Záznamy </li></ul></ul><ul><ul><li>Audity </li></ul></ul><ul><ul><li>Hodnocení nebezpečí </li></ul></ul><ul><ul><li>bezpečnostních rizik </li></ul></ul><ul><ul><li>Právní a jiné požadavky </li></ul></ul><ul><ul><li>Cíle a cílové hodnoty </li></ul></ul><ul><ul><li>Projekty na realizaci cílů </li></ul></ul><ul><ul><li>Přezkoumání vedením </li></ul></ul><ul><ul><li>Zlepšování </li></ul></ul>
  7. 7. Implementace vypracované BP <ul><li>Vždy přináší problémy! PROČ? </li></ul><ul><ul><li>Omezení jsou vidět ihned </li></ul></ul><ul><ul><li>Přínosy nejsou zřejmé </li></ul></ul><ul><li>Co pomáhá? </li></ul><ul><ul><ul><li>Ustavit odpovědnosti a kompetence </li></ul></ul></ul><ul><ul><ul><li>Výcvik, povědomí </li></ul></ul></ul><ul><ul><ul><ul><li>komunikace ! </li></ul></ul></ul></ul><ul><ul><ul><ul><li>komunikace !! </li></ul></ul></ul></ul><ul><ul><ul><ul><li>komunikace ? </li></ul></ul></ul></ul><ul><ul><ul><li>Dokumentace </li></ul></ul></ul><ul><ul><ul><li>Řízení provozu (i z hlediska bezpečnosti ICT) </li></ul></ul></ul><ul><ul><ul><li>Připravenost na bezpečnostní situace/schopnost reakce </li></ul></ul></ul>
  8. 8. Odpovědnosti a kompetence R esponsible, A ccountable, C onsulted, and/or I nformed Závisí na typu organizace CEO CFO BE CIO BPO HO CA HD HA PM C / A A ktivita                     Definovat a udržovat plán zabezpečení IT.   I   C   C   A   C   C   C   C   I   I   R Definovat, ustavit a provozovat proces řízení identit         I   A   C   R   R   I         C Sledovat potenciální a skutečné bezpečnostní incidenty.            A   I   R   C   C         R Pravidelně revidovat uživatelská přístupová práv a oprávnění            A   I   C               R Vytvořit a udržovat postupy pro udržení a zachování kryptografických klíčů.            A      R         I      C Zavést a udržovat technickou a procedurální ochranu informační toků v sítích            A   C   C   R   R         C Provádět pravidelné hodnocení zranitelností.      I      A   I   C   C   C         R
  9. 9. Výcvik, povědomí Slyšet Vidět
  10. 10. Dokumentace <ul><li>Bezpečnostní politika </li></ul><ul><li>Dokumentovaný rozsah ISMS </li></ul><ul><li>Zpráva o analýze rizik </li></ul><ul><li>Prohlášení o aplikování protiopatření </li></ul><ul><li>Plán zvládání rizik </li></ul><ul><li>Zpráva o řízení rizik </li></ul><ul><li>Systémová bezpečnostní politika </li></ul><ul><li>Smlouva o výměně informací </li></ul><ul><li>Zpráva o analýze stavu </li></ul><ul><li>Program zvyšování úrovně bezpečnosti </li></ul>
  11. 11. Řízení provozu <ul><li>zpracování a zacházení s informacemi; </li></ul><ul><li>zálohování dat </li></ul><ul><li>časové návaznosti zpracování, včetně vzájemných souvislostí s jinými systémy, čas začátku první a dokončení poslední úlohy; </li></ul><ul><li>popis činnosti při výskytu chyb nebo jiných mimořádných stavů, které by mohly vzniknout při běhu úlohy, včetně omezení na používání systémových nástrojů </li></ul><ul><li>spojení na kontaktní osoby v případě neočekávaných systémových nebo technických potíží; </li></ul><ul><li>instrukce pro zacházení se speciálními výstupy, jako například se speciálním spotřebním materiálem, správa důvěrných výstupů, včetně instrukcí pro nakládání s chybnými výstupy z aplikací v případě jejich selhání </li></ul><ul><li>postupy při restartu systému a obnovovací postupy v případě selhání systému </li></ul><ul><li>zpracování záznamů z auditu a systémových záznamů </li></ul>
  12. 12. Připravenost na bezpečnostní incidenty <ul><li>zpětná vazba na hlášení incidentu </li></ul><ul><li>formuláře podporující proces hlášení bezpečnostních událostí formuláře podporující proces hlášení bezpečnostních událostí </li></ul><ul><li>nastavení správného chování v případě bezpečnostní události </li></ul><ul><li>odkaz na zavedená formalizovaná pravidla pro disciplinární proces s těmi co způsobili narušení bezpečnosti. </li></ul>
  13. 13. Nejlepší praktiky <ul><li>Keep simply (jak je to jen možné) </li></ul><ul><li>Technika je spolehlivější než člověk (co lze vynutit technicky, vynuťte technicky) </li></ul><ul><li>Opakování je matka moudrosti </li></ul><ul><li>Důslednost, důslednost, důslednost! </li></ul>
  14. 14. CO ZÍSKÁME? <ul><li>PŘIMĚŘENOU BEZPEČNOSTNÍ KULTURU </li></ul><ul><li>CHOVÁNÍ A JEDNÁNÍ UŽIVATELŮ V SOULADU S BESPEČNOSTNÍMI CÍLY ORGANIZACE </li></ul>
  15. 15. Děkuji za pozornost <ul><li>Kontakt </li></ul><ul><li>[email_address] </li></ul><ul><li>[email_address] </li></ul>

×