Politika informacn bezpecnosti

Politika informacn bezpecnosti PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2019

Politika Politika { pravidla rdic dosazen cl u urcen ymi zp usoby A policy is a deliberate system of principles to guide decisions and achieve rational outcomes. A policy is a statement of intent, and is implemented as a procedure or protocol. Politika organizace prohl asen o celkov em z ameru a smeru podnik an form aln e vyj adren e vedenm organizace Organizace m uze mt radu politik, jednu pro kazdou z oblast cinnosti, kter e jsou pro organizaci d ulezit e. { Person aln politika { Politika nancnch tok u, Cash flow policy { Politika p usoben v trznm prostred { Soci aln politika... Nekter e politiky jsou navz ajem nez avisl e, jin e politiky maj hierarchick y vztah nebo se dopl nuj Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 1

Typov a struktura dokumentu politiky Shrnut 1 nebo 2 prehledov e vety Uvod strucn e vysv etlen d uvod u zaveden politiky Oblast popisuje ty c asti nebo cinnosti organizace, kter e jsou ovlivn eny politikou. prpadn e se odkazuj dals politiky, kter e jsou danou politikou podporov any Cle podrobn y popis z am eru politiky Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 2

Typov a struktura dokumentu politiky Pravidla, z asady pravidla t ykajc se akc a rozhodnut k dosazen cl u. pokud je uzitecn e identikovat klcov e procesy souvisejc s t ematem politiky a pak i pravidla pro provozov an techto proces u Odpov ednosti kdo je odpovedn y za opatren (procedury, protokoly,... ), kter ymi se pln pozadavky t eto politiky. prp, i popis organizacn struktury a odpov ednost osob s urcen ymi rolemi Klcov e v ystupy co pro podnik an dosazen v ysledk u politiky prinese Souvisejc politiky Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 3

Hierarchie bezpecnostnch politik Pro oblasti bezpecnosti organizace maj b yt politiky organizov any hierarchicky na nejvyss urovni je bezpecnostn politika organizace souhrn bezpecnostnch z asad a predpis u, mnozina pravidel denujcch spr avu a ochranu aktiv organizace denuje zp usob zabezpecen organizace jako celku od fyzick e ostrahy, pres ochranu soukrom, pres bezpecn e pln en cl u cinnosti organizace az po ochranu lidsk ych pr av bezpecnostn politika organizace je podporov ana radou dalsch specick ych politik, mj. napr. politikou informacn bezpecnosti, z asady, pravidla zajist en InfSec politikou ISMS, z asady, pravidla chov an ISMS politikou uchov an kontinuity cinnosti, Business Continuity Plan... Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 4

Politika informacn bezpecnosti a politika ISMS Politka InfSec { co proti cemu chr anit Politika ISMS { jak navrhovat, vyvjet, provozovat a hodnotit procesy plnc politiku InfSec Politika InfSec b yv a podporov ana radou detailnch politik na konkr etnch aspekty informacn bezpecnosti (rzen prstupu, e-mailu, cist eho stolu, pouzv an st'ov ych sluzeb,... ) ISO / IEC 27001 (standard ISMS) z ad a, aby organizace mela jak politiku ISMS tak i politiku informacn bezpecnosti. konkr etn vztah mezi t emito politikami nestanovuje, politiku ISMS z ad a ISO / IEC 27001, politiku InfSec ISO / IEC 27002 Ob e mohou b yt vytvoreny jako dopl nujc se politiky, politika ISMS m uze b yt podrzena politice InfSec nebo politika InfSec m uze b yt podrzena politice ISMS. Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 5

Politika informacn bezpecnosti (IT Security Policy) souhrn bezpecnostnch z asad a predpis u pro ochranu informacnch aktiv politika se b ezn e vyjadruje neform aln e, v prirozen em jazyce standardizovan a hodnocen informacn bezpecnosti budou IT syst emy s neform aln e vyj adrenou politikou informacn bezpecnosti hodnotit jako syst emy s nzkou urovn z aruky d uv eryhodnosti politiky vyss urove n z aruky za d uv eryhodnost politiky poskytuje jej semi-form aln vyj adren zv ysen urovn e d uv eryhodnosti nelze dos ahnout pouzitm siln ejsch bezpecnostnch mechanism u a/nebo bohats sk alou opatren vyjmecn e lze pouzt i form aln logicko{matematick e jazyky pro vyj adren politiky (pro omezen a prostred a syst emy) pak lze dos ahnout az vysok e urovne d uveryhodnosti Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 6

Politika informacn bezpecnosti (IT Security Policy) m a vyhovovat celkov e bezpecnostn politice organizace denuje bezpecn e pouzv an IT v r amci organizace stanovuje koncepci informacn bezpecnosti organizace v horizontu 5-10 let stanovuje co jsou citliv a informacn aktiva, jejich klasikaci a odpov ednosti za jejich stav stanovuje bezpecnostn infrastrukturu organizace nutn a je nez avislost v ykonn ych a kontrolnch rol denuje trdu (slu) utocnk u, v uci kter ym se informace organizace zabezpecuj je nez avisl a na konkr etne pouzit ych IT Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 7

Bezpecnostn politika syst emu zpracov an informac tak e bezpecnostn politika IS, syst emov a bezp. politika,... podle ISO/IEC 27000 { Pl an zvl ad an rizik detailn normy, pravidla, praktiky, predpisy konkr etn e denujc zp usob spr avy, ochrany, distribuce citliv e informace a jin ych IT zdroj u v oblasti vymezen e syst emem pro zpracov an informac organizace specikace bezpecnostnch opatren, zp usobu jejich implementace a urcen zp usob u jejich pouzit zarucujcch prim erenou bezpecnost mus spl novat politiku informacn bezpecnosti organizace mus respektovat konkr etn e pouzit e IT urcuje zp usob zabezpecen informac v dan em syst emu v horizontu 2{5 let, tj. denuje { konkr etn cle { co se proti cemu chr an { konkr etn opatren { pouzit e mechanismy pro implementaci opatren { obsahuje havarijn pl an a pl any cinnosti po utocch Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 8

Tvorba politiky informacn bezpecnosti Denice politik InfSec a ISMS je 1. krok pri budov an ISMS Tvorba politiky je obvykle iterativn proces n aln verze politiky mus odr azet v ysledek ohodnocen rizik dan y obsahem prohl asen o aplikovatelnosti (specikace vhodn ych opatren) { dokument vznikl y jak v ysledek ohodnocen rizik politika je konceptu aln dokument, kter y m a respektovat charakteristiky cinnost, lokalit a aktiv organizace a technologi pouzit ych organizac pro zpracov an informac denovat syst em stanoven cl u a strategi rzen organizace a rizik ustanovit kontext, ve kter em bude p usobit ustanovit krit eria pro evaluaci rizik a strukturu procesu hodocen rizik politika mus b yt schv alen a vedenm organizace pravideln e prezkoum avan a (napr. rocn e) a aktualizovan a Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 9

Jednoduch y prklad politiky informacn bezpecnosti Shrnut Politika cinnosti organizace deklaruje, ze vesker a informacn aktiva obsazen a v oblasti p usobnosti t eto politiky InfSec mus b yt b yt vzdy chr anen a proti kompromitaci, proti neautorizovan e zm en e jejich integrity a proti omezen jejich dostupnosti, a to bez ohledu na jejich formu, a na to zda jsou sdlen a, sdelen a nebo skladovan a Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 10

Jednoduch y prklad politiky informacn bezpecnosti Uvod Informace se mohou vyskytovat ve vce form ach: mohou b yt vytisten e nebo napsan e na papre, ulozen e v elektronick e podobe, pren asen e postou nebo pomoc elektronick ych prostredk u, zobrazen e na lmy, nebo recen e v rozhovoru. Informacn bezpecnost se rozum ochrana informac pred sirokou sk alou hrozeb s clem zajist en kontinuity cinnosti organizace, minimalizace podnikatelsk ych rizik a maximalizace n avratnosti investic a obchodnch prlezitost Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 11

Jednoduch y prklad politiky informacn bezpecnosti Oblast Tato politika podporuje politiku bezpecnosti organizace Vztahuje na celou organizaci Cle Zvl adaj se strategick a a provozn rizika informacn bezpecnosti tak, aby byla pro organizaci akceptovateln a Chr an se d uv ernost informac o z akazncch, vyvjen ych produktech a marketingov ych pl anech Zajist'uje se integrita protokolov ych z aznam u o cinnostech Verejn e webov e sluzby a sluzby vnitrnch st vyhovuj stanoven emu standardu dostupnosti Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 12

Jednoduch y prklad politiky informacn bezpecnosti Pravidla Organizace toleruje informacn rizika, kter a nemus b yt tolerov ana v konzervativn e rzen ych organizac, za predpokladu, ze se jim rozum, monitoruj se a v prpad e potreby se zvl adaj. Podrobnosti ohodnocov an rizik a zvl ad an rizik se nach azej v politice ISMS. Vsichni zam estnanci jsou v edom a odpov edn za informacn bezpecnost v mre relevantn jejich pracovnmu zarazen Zajist'uje se nancov an opatren informacn bezpecnosti v provoznch a projekcnch procesech Pri celkov em rzen informacnch syst em u se bere do uvahy moznost podvod u zneuzitm informacnch syst em u Vyd avaj se zpr avy o stavu informacn bezpecnosti Sleduj se rizika informacn bezpecnosti a pokud riziko nen akceptovateln e, spoust se odpovdajc akce clen e na zv ysen efektivnosti ochran (inovace opatren, inovace ISMS apod.) Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 13

Jednoduch y prklad politiky informacn bezpecnosti Krit eria pro klasikaci rizik a prijatelnost rizik stanovuje politika ISMS Netoleruj se situace, kter e by mohly v est k rozporu s pr avem ci s predpisy Odpov ednosti Nejvyss management je zodpovedn y za to, ze informacn bezpecnost je dostatecn e resena v r amci cel e organizace. Kazd y z nejvyssch manazer u je odpovedn y za to, ze mu podrzen lid e, chr an informace v souladu se standardy organizace. S ef bezpecnosti rad vrcholov ym manazer um, poskytuje odbornou podporu zam estnanc um organizace a zajist'uje vypracov av an zpr avy o stavu informacn bezpecnosti Kazd y zam estnanec pri pln en pracovnch povinnosti relevantn e odpovd a za informacn bezpecnost Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 14

Jednoduch y prklad politiky informacn bezpecnosti Klcov e v ystupy Incidenty v oblasti informacn bezpecnosti nezp usob v azn e a necekan e skody a/nebo nebudou v azn ym narusenm sluzeb a podnikatelsk ych aktivit. Skody vznikl e podvody zneuzitm informacnch syst em u budou v akceptovateln ych mezch. Z akaznci nebudou neprzniv e ovlivn eni obavami o informacn bezpecnost Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 15

Jednoduch y prklad politiky informacn bezpecnosti Souvisejc politiky Politika syst emu rzen informacn bezpecnosti (ISMS) Politika rzen prstupu Politika cist eho stolu a displeje Politika pouzv an neautorizovan eho software Politika v oblasti zsk av an soubor u software bud' prostrednictvm externch st nebo prmo z t echto st Politika z alohov an Politika v ym eny informac mezi organizacemi Politika mozn eho vyuzv an elektronick ych komunikacnch zarzen Politika vyuzv an st'ov ych sluzeb Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 16

Jednoduch y prklad politiky informacn bezpecnosti Politika pouzv an mobiln v ypocetn techniky a komunikace Politika pr ace z domova Politika pouzv an kryptograck ych opatren Politika souladu Politika licencov an softwaru Politika likvidace software Politika ochrany osobnch udaj u a soukrom Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 17

Tvorba politiky informacn bezpecnosti, inici aln dokument Deklarace politiky informacn bezpecnosti Maxim aln rozsah { 2 az 3 strany A4 Odpovedi na klcov e ot azky { Pro koho? Kde? Co? Proc? Deklaruje vrcholov y management, podepisuje,,s ef"organizace Pro koho bude politika informacn bezpecnosti z avazn a? odpov ednost za politiku (za kazdou revizi) m a vrcholov y management, mus existovat d ukaz, ze tomu tak je { z apisy z veden,... vrcholov y management / rdic v ybor mus zv azit a vymezit dopad politiky na konkr etn okruhy zamestnanc u, z akaznk u, dodavatel u,... vc. prnos u/negativ pro byznys,... vytv aren a politika m a b yt maxim alne srozumiteln a, upln a (samostatn e pouziteln y dokument) a evidentn (nezpochybniteln a), aby se v pr ubehu implementace nemusely opakovane odsouhlasovat vsechny dlc alternativy politiky Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 18

Tvorba politiky informacn bezpecnosti, inici aln dokument Kde bude oblast p usobnosti politiky informacn bezpecnosti? Nutno presne vymezit podle org. r adu / geogracky / funkcne /... spatne se prosazuje ITSP v oblasti, kter a nepodl eh a jednotn emu rzen mnohdy nestac jednostrann e vymezen napr. na b azi organizacn struktury ci geograck e lokality, do oblasti mus b yt zahrnuty vsechny souvisejc kritick e funkce Co politika informacn bezpecnosti chr an? specikace informacnch aktiv pokryt ych politikou specikace relevantnch rys u bezpecnosti chr an en ych aktiv (d uvernost, integrita, dostupnost,... ) stanoven krit eri pro akceptov an rizik a identikace urovn e akceptovateln eho rizika Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 19

Tvorba politiky informacn bezpecnosti, inici aln dokument Proc se politika informacn bezpecnosti zav ad? srozumiteln e vyj adren podstaty hrozeb pro organizaci srozumiteln e vyj adren v yse skod zp usoben ych narusenm bezpecnosti informac (ve nancnch i nenancnch pojmech) ilustracn prklady d usledk u incident u podporujc zaveden ISMS Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 20

Deklarace politiky informacn bezpecnosti, sablona { prklad Veden organizace...... provozujc cinnost v oblasti......, umsten e v......, se rozhodlo chr anit d uv ernost, integritu a dostupnost vsech sv ych relevantnch fyzick ych a elektronick ych informatick ych aktiv Clem ochran je udrzen dobr eho stavu konkurencnch v yhod, hotovostnch tok u, ziskovosti, vyhov en z akonn ym a smluvnm omezenm a zachov an dobr e pov esti organizace. Cle ochran, pozadavky na informace a na bezpecnost informac budou vyhovovat cl um organizace v oblasti... stanoven ych politikou informacn bezpecnosti a jako zmoc novac mechanismus pro sdlen informac v elektronick ych operacch, pro e-komerci a pro redukci rizik v azan ych na zpracov an informac na akceptovatelnou urove n se pouzije syst em rzen informacn bezpecnosti (ISMS). Zam estnanci organizace cin v oblasti... jsou povinni plnit pozadavky bezpecnostn politiky a ISMS, kter y tuto politiku implementuje. Tot ez plat pro tret strany denovan e v ISMS. Tato politika bude prezkoum avan a alespo n jednou rocn e. Odpovednost za bez uecnostn politiku a ISMS je poveren odbor.... Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 21

Tvorba politiky informacn bezpecnosti Tak jak jsou n asledne zsk avan e dlc v ysledky z hodnocen rizik, deklarace politiky informacn bezpecnosti se m uze rozsirovat a upres novat Formulov an politiky informacn bezpecnosti Typov a sablona politiky informacn bezpecnosti pro ISMS je souc asti studijnch podklad u pro tento predm et Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 22

Tvorba politiky informacn bezpecnosti Politika informacn bezpecnosti m a pokr yvat/obsahovat: prohl asen, ze veden organizace bude podporovat ISMS a periodicky prezkoum avat politiku informacn bezpecnosti n astin prstupu k rzen rizik (urcen metodiky), krit era evaluace (vyhodnocen) rizik, strukturu procesu ohodnocen rizik a kdo bude za ohodnocen rizik odpov edn y strucnou identikaci pozadavk u na soubory opatren zajist'ujcch vyhov en politice, napr. { pl an(y) reakc na incidenty, { pl an zachov an cinnost, { pl an z alohov an dat, { pl an ochran pred viry, { politika rzen prstupu, { zpravodajstv o bezpecnostnch incidentech,... pokrač. Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 23

Tvorba politiky informacn bezpecnosti pokrač srozumitelnou deklaraci toho, ze pozadavky na informace a bezpecnost informac budou vyhovovat cl um organizace a ze relevantn ISMS bude predm etem trval eho vylepsov an jasn e vyj adren, ze vsichni zam estnanci budou podrobov ani skolen a tr enov an v bezpecnostnm uv edom en a specialist e budou absolvovat specializovan a skolen ide aln e by ITSP m ela deklarovat vyhov en standardu ISO/IEC 27002 (tj. prohl asen, ze se uplat nuj standardn opatren), prpadn e by ITSP m ela deklarovat cl zskat certik atu ISO/IEC 27001 (tj. certik atu, ze se uplat nuj validn procesy ISMS) Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 24

Tvorba politiky informacn bezpecnosti N aklady na budov an politiky InfSec Veden organizace m a pozadovat dolozen n avrhu politiky { odhadem ceny vybudov an ISMS a zdroj u pro vybudov an ISMS { hodnocenm a kvantikac potenci alnch zisk u { n avrhem pl anu implementace a odpov ednosti za implementaci Monitorov an postupu budov an politiky InfSec Klcov e okamziky pro prezkoum an postupu tvorby politiky jsou { vypracov an n avrhu Prohl asen o aplikovatelnosti (specikace vhodn ych opatren) v r amci ohodnocov an rizik { implementace inici aln sestavy procedur aplikujcch opatren identikovan a v Prohl asen o aplikovatelnosti { proveden prvnho auditu ISMS { n asledne pak rocne, v termnech pravideln eho prezkoum av an ISMS, urcen ych v politice informacn bezpecnosti Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 25

XXX tip u pro tvorbu politiky informacn bezpecnosti Detailn v yklad tip u viz dodatek k t eto predn asce Bezpecnostn politika je nejefektivn ejs, kdyz si ji organizace napse sama Politika informacn bezpecnosti by m ela b yt klcov ym faktorem pri vsech rozhodnutch o cinnosti organizace, nen pravda, ze ovliv nuje cinnost pouze IT odd elen Zam estnanci mus b yt skolen pro dodrzov an bezpecnostn politiky Bezpecnostn politika nebude organizaci chr anit pred vsemi mozn ymi hrozbami. Ucinn a bezpecnostn politika je bezpecnostn politika, kter a se trvale aktualizuje a reviduje Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 26

XXX tip u pro tvorbu politiky informacn bezpecnosti Bezpecnostn politika m a zahrnovat sledov an v ykonu. Co nem uzete obh ajit / dok azat u soudu, nen ani spolehliv e ani uzitecn e pro bezpecnost. Vsichni mus dodrzovat bezpecnostn politiky nebo celit d usledk um Zam estnanci potrebuj uvoln en. Bezpecnostn politika je predm etem k diskusi. Ucinnost a prijatelnost bezpecnosti jsou dva neodd eliteln e faktory. Bezpecnostn politika mus b yt jasn a, ctiv a, srozumiteln a Predpisy a dosazen souladu s nimi jsou nutn e zla Kdyz jste na pochyb ach, konzultujte standardy Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 27

Vybran e bezpecnostn z asady Separation of duty { separace odpov ednost kontrolu (audit) spr avnosti proveden akce X nesm prov ad et osoba soucasn e pov eren a exekutivnm v ykonem (provedenm) akce X Dual control { dublov an autorizace zprstup nov an a kongurov an syst em u vysoce citliv ych z hlediska bezpecnosti nen povolen e prov adet jedin e osobe individu alne (princip {,,mus u toho b yt alespo n dva") Mechanismy dublov an autorizace delen kryptograck ych klc u na c asti a prid elen jednotliv ych c ast osob am pov eren ym relevantnmi rolemi prid elen inici alnch hodnot kryptograck ych klc u osob am pov eren ym relevantnmi rolemi a vypoct an aktu aln hodnoty klce pomoc XOR jejich hodnot vyzadov an soucasn e autentizace vce osob,... Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 28

Mechanismy odpov ednosti/auditu (accounting, audit) bezpecn y syst em obvykle obsahuje protokolovac podsyst em, kter y zaznamen av a vsechny ud alosti, kter e nejakou formou souvis s bezpecnost Protokolov y z aznam mus b yt odoln y proti falsov an/porusen neutorizovan ym cinitelem b ezcm v syst emu prklad zajist en: vypoct av an a dopl nov an MAC z aznam u pomoc klc u uchov avan ych v nejak em zabezpecen em syst emu Souc ast bezpecnostn politiky syst emu mus b yt predpis o form e vyhodnocov an protokolovan ych z aznam u o ud alostech, kter e n ejakou formou souvis s bezpecnost Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 29

Management/spr ava bezpecnosti Pozadavek na spr avn e (bezpecn e) provozov an syst emu pozaduje kontinu aln prov ad en spr avy (rzen) bezpecnosti Mezi rdic ukony z hlediska bezpecnosti mj. patr zajist'ov an inovac syst emu dopl nov anm nov ych funkc bezchybn e detekov an dosud neidentikovan ych zranitelnost syst emu D ulezitou komponentou nepretrzit e spr avy je auditn cinnost zabezpecovan a rolemi nez avisl ymi na exekutiv e bezpecnosti a na navrhovatelch bezpecnostnho resen typick a n apl n cinnosti kontrolnho utvaru kontroln utvar si m uze ponechat odpov ednost a v ykon auditu zajist'ovat outsourcingem Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 30

Kategorizace forem spr avy bezpecnosti Spr ava chyb a z avad idnetikace chyb a z avad v aplikacnm syst emu a ve zp usobu jeho pouzv an (vc. napr. penetracnho testov an { testov an pr unik u) Rzen kongurace a zm enov e rzen administrativa zm en v aplikacnm syst emu Rzen auditu a protokolov an ud alost souvisejcch s bezpecnost audit objasnme na n asledujcch pr usvitk ach podrobn eji Rzen v ykonu monitorov an a hodnocen zpracov avatelsk eho/komunikacnho v ykonu Rzen bezpecnostnho programu rzen provozu syst emu podle denovan ych procedur Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 31

Ucel bezpecnostnho auditu Hlavn cle auditu kontrola, zda byly bezpecnostn procedury denovan e spr avn e detekce neosetren ych,,bezpecnostnch d er", zranitelnost nepokryt ych adekv atnmi bezpecnostnmi opatrenmi Dals smysl auditu audit procedur po narusen bezpecnost s clem zjist en jak k porusen doslo a kdo je za porusen odpovedn y Role a nez avislost auditora audit prov ad role pln e nez avisl a na bezpecnostn exekutiv e z adn y auditor nesm soucasn e pracovat jako bezpecnostn spr avce ci bezpecnostn manazer, architekt apod. (separace odpov ednost) Procedury / postupy auditu se denuj jakou souc ast procedur spr avy a provozu syst emu auditor mus b yt schopn y audit vykonat bez spol eh an se na radu,,jak audit d elat"od monitorovan ych entit Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 32

Politiky a syst em rzen informacn bezpecnosti V etsina organizac vytv ar politiku informacn bezpecnosti podle standardu ISO/IEC 27002 Politika spr avy informacn bezpecnosti zalozen a na rzen rizik Pouzit standardu ISO/IEC 27002 byly v enovan e vesm es vsechny dosavadn predn asky Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 33

Politiky a syst em rzen informacn bezpecnosti D uv eryhodn a bezpecnostn politika zpracov an informac je z akladn k amen syst emu rzen informacn bezpecnosti (Information Security Management System, ISMS). Clem ISMS je zajistit trvalou aktu alnost politiky informacn bezpecnosti a trvalou urove n zabezpecen informac Politika ISMS je bud'to nadrazena politice informacn bezpecnosti nebo je jej prmou souc ast Standard denujc ustaven, zav ad en, provozov an, monitorov an, udrzov an a zlepsov an ISMS v organizaci { ISO/IEC 27001 Pouzit standardu ISO/IEC 27001 bude v enovan a n asledujc predn aska Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 34

Politiky a syst em rzen informacn bezpecnosti Z akladn ideje ISMS: B azov a idea: Model Plan-Do-Check-Act, PDCA { cyklick y proces: Plan (zaveden ISMS, projekt a detailn n avrh ISMS) Do (implementace ISMS) Check (sledov an, monitorov an, m eren efektivnosti ISMS) Act (denice vylepsen ISMS) Plan... podpora pochopen pozadavk u na informacn bezpecnost organizace a potreb pro stanoven politiky a cl u informacn bezpecnosti zaveden a provozov an opatren pro rzen informacn bezpecnosti v kontextu s rzenm celkov ych rizik cinnost organizace monitorov an a prezkoum an v ykonnosti a ucinnosti ISMS neust al e zlepsov an zalozen e na objektivnm m eren. Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 35

Prklad { zaclen en proces u rzen rizik cyklu PDCA ISMS Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 36

Politika dle z akona o kybernetick e bezpecnosti Struktura politiky informacn bezpecnosti dle z akona o kybernetick e bezpecnosti viz dodatek k t eto predn asce Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 37