www.i.cz

Vaše jistota na trhu IT

NĚKTERÉ ZKUŠENOSTI ZE ZAVÁDĚNÍ ISO 27001

Vítězslav Šidlo, ICZ a.s.2.4.2007, Hradec Králové

www.i.cz

Vaše jistota na trhu IT

►Srozumitelnost hodnocení rizik►Vazba ISMS na řízení rizik organizace►Zapojení vedení

www.i.cz

Vaše jistota na trhu IT

Kontext

►Systém řízení bezpečnosti informací podle ČSN ISO/IEC 27001 Systémy managementu bezpečnosti informací – Požadavky

►Zavedení vybraných opatření podle ČSN ISO/IEC 17799 Soubor postupů pro management bezpečnosti informací

►Zavedení začíná prvním provedením fáze Plan

www.i.cz

Vaše jistota na trhu IT

Soustavné zlepšování opakováním cyklu PDCA

Monitorování apřehodnocení

ISMS

Vybudování ISMS

Implementace aprovoz ISMS

Udržování azlepšování ISMS

Plan

Do

Check

Act

www.i.cz

Vaše jistota na trhu IT

Náklady na ISMS

► jednorázové („investiční“)►trvalé – provozní

►na procesy řízení►na bezpečnostní opatření

www.i.cz

Vaše jistota na trhu IT

Hodnocení rizik a lidé, rozhodující o riziku

► O zvládání rizika ● snížení opatřeními● přenesení● vyhnutí se● akceptace

► …rozhoduje vedení organizace

► Některé výsledky hodnocení rizik jsou v rozporu s (něčí) intuicí

► Chtějí mít představu o „podstatě“ rizika

► Chtějí vědět, proč je riziko ohodnoceno v dané výši

www.i.cz

Vaše jistota na trhu IT

Metoda hodnocení (analýzy) rizik

►Srozumitelná, zejména v hrozbách● konkrétní příklady napomáhají porozumění, ale

mohou zkreslit představu o míře hrozby

►Možnost sledování vztahu (backtracking) ● riziko -> hrozba, dopad, ● případně dopad -> hodnota, zranitelnost● závislosti aktiv

www.i.cz

Vaše jistota na trhu IT

ISMS a řízení rizik organizace

► Rizika z bezpečnosti informací jsou jedněmi z rizik v organizaci

► Rizika na úrovni organizace jsou hodnocena● méně podrobně – obsáhlejší kategorie● obvykle v méně stupňových škálách

www.i.cz

Vaše jistota na trhu IT

ISMS a řízení rizik organizace

►Různí lidé, různé jazyky► ISMS

● informatici, odbor bezpečnosti…● hodnota aktiva, hrozba, zranitelnost => riziko

►Řízení rizik● interní audit (s finančním „původem“),…● dopad, pravděpodobnost události => úroveň rizika

www.i.cz

Vaše jistota na trhu IT

ISMS a řízení rizik organizace

1. Metodika pro sloučení rizik pro přenos do řízení rizik organizace

2. Stupnice rizik by měla být● stejná● převoditelná

3. Pravidla zvládání (zejména akceptace) co nejvíce stejná

► Určeno při volbě metodiky hodnocení rizik v ISMS, před první AR

www.i.cz

Vaše jistota na trhu IT

Zapojení vedení organizace

►„Bezpečnost informací = bezpečnost IT = věc útvaru IT“

►Dopad na všechny pracovníky►Podíl na řešení

● personální útvar● správa budov● ostraha● metodické odbory● spisovna● útvar IT

www.i.cz

Vaše jistota na trhu IT

Zapojení vedení organizace

►„Hybatelem“ nemůže být útvar IT ►Vedení schvaluje opatření (zdroje)►Vedení akceptuje rizika

www.i.cz

Vaše jistota na trhu IT

Zapojení vedení organizace

►Přesvědčit vedení● upozornění na rizika● penetrační testy● „externí expert“

►Alespoň jeden zainteresovaný člen vedení►Komunikovat v jazyce, kterému vedení

rozumí

www.i.cz

Vaše jistota na trhu IT

Děkuji za vaši pozornost

Vítězslav Šidlovitezslav.sidlo@i.cz+420 244 100 608

ICZ a.s.Divize bezpečnostwww.i.cz

www.i.cz

Vaše jistota na trhu IT

Volba rozsahu ISMS

►Vymezení● geografické● organizační● procesní

►Oblasti mimo hranice ISMS nesmí ovlivňovat bezpečnost oblasti uvnitř hranic ISMS

www.i.cz

Vaše jistota na trhu IT

Volba rozsahu ISMS

►Pro menší rozsah● zůstává stejný systém řízení, zmenšuje se jen objem

některých prací (analýza rizik, volba opatření, interní audit)

● jednodušší implementace bezpečnostních opatření

►Zvážit● zjednodušení bude významné jen při dostatečně

malém rozsahu

►vs.● jasná hranice● úsilí při rozšíření

www.i.cz

Vaše jistota na trhu IT

Děkuji za vaši pozornost

Vítězslav Šidlovitezslav.sidlo@i.cz+420 244 100 608

ICZ a.s.Divize bezpečnostwww.i.cz