NĚKTERÉ ZKUŠENOSTI ZE ZAVÁDĚNÍ ISO 27001

1. NĚKTERÉ ZKUŠENOSTI ZE ZAVÁDĚNÍ ISO 27001 • Vítězslav Šidlo, ICZ a.s. • 2.4.2007, Hradec Králové www.i.cz

2. Srozumitelnost hodnocení rizik • Vazba ISMS na řízení rizik organizace • Zapojení vedení www.i.cz

3. Kontext • Systém řízení bezpečnosti informací podle ČSN ISO/IEC 27001 Systémy managementu bezpečnosti informací – Požadavky • Zavedení vybraných opatření podle ČSN ISO/IEC 17799 Soubor postupů pro management bezpečnosti informací • Zavedení začíná prvním provedením fáze Plan www.i.cz

4. Soustavné zlepšování opakováním cyklu PDCA www.i.cz

5. Náklady na ISMS • jednorázové („investiční“) • trvalé – provozní • na procesy řízení • na bezpečnostní opatření www.i.cz

6. Hodnocení rizik a lidé, rozhodující o riziku • O zvládání rizika • snížení opatřeními • přenesení • vyhnutí se • akceptace • …rozhoduje vedení organizace • Některé výsledky hodnocení rizik jsou v rozporu s (něčí) intuicí • Chtějí mít představu o „podstatě“ rizika • Chtějí vědět, proč je riziko ohodnoceno v dané výši www.i.cz

7. Metoda hodnocení (analýzy) rizik • Srozumitelná, zejména v hrozbách • konkrétní příklady napomáhají porozumění, ale mohou zkreslit představu o míře hrozby • Možnost sledování vztahu (backtracking) • riziko -> hrozba, dopad, • případně dopad -> hodnota, zranitelnost • závislosti aktiv www.i.cz

8. ISMS a řízení rizik organizace • Rizika z bezpečnosti informací jsou jedněmi z rizik v organizaci • Rizika na úrovni organizace jsou hodnocena • méně podrobně – obsáhlejší kategorie • obvykle v méně stupňových škálách www.i.cz

9. ISMS a řízení rizik organizace • Různí lidé, různé jazyky • ISMS • informatici, odbor bezpečnosti… • hodnota aktiva, hrozba, zranitelnost => riziko • Řízení rizik • interní audit (s finančním „původem“),… • dopad, pravděpodobnost události => úroveň rizika www.i.cz

10. ISMS a řízení rizik organizace • Metodika pro sloučení rizik pro přenos do řízení rizik organizace • Stupnice rizik by měla být • stejná • převoditelná • Pravidla zvládání (zejména akceptace) co nejvíce stejná • Určeno při volbě metodiky hodnocení rizik v ISMS, před první AR www.i.cz

11. Zapojení vedení organizace • „Bezpečnost informací = bezpečnost IT = věc útvaru IT“ • Dopad na všechny pracovníky • Podíl na řešení • personální útvar • správa budov • ostraha • metodické odbory • spisovna • útvar IT www.i.cz

12. Zapojení vedení organizace • „Hybatelem“ nemůže být útvar IT • Vedení schvaluje opatření (zdroje) • Vedení akceptuje rizika www.i.cz

13. Zapojení vedení organizace • Přesvědčit vedení • upozornění na rizika • penetrační testy • „externí expert“ • Alespoň jeden zainteresovaný člen vedení • Komunikovat v jazyce, kterému vedení rozumí www.i.cz

14. Děkuji za vaši pozornost • Vítězslav Šidlo • vitezslav.sidlo@i.cz • +420 244 100 608 • ICZ a.s. • Divize bezpečnost • www.i.cz www.i.cz

15. Volba rozsahu ISMS • Vymezení • geografické • organizační • procesní • Oblasti mimo hranice ISMS nesmí ovlivňovat bezpečnost oblasti uvnitř hranic ISMS www.i.cz

16. Volba rozsahu ISMS • Pro menší rozsah • zůstává stejný systém řízení, zmenšuje se jen objem některých prací (analýza rizik, volba opatření, interní audit) • jednodušší implementace bezpečnostních opatření • Zvážit • zjednodušení bude významné jen při dostatečně malém rozsahu • vs. • jasná hranice • úsilí při rozšíření www.i.cz

17. Děkuji za vaši pozornost • Vítězslav Šidlo • vitezslav.sidlo@i.cz • +420 244 100 608 • ICZ a.s. • Divize bezpečnost • www.i.cz www.i.cz