Post on 20-Aug-2020
Projekt implementace ISMS
PV017 �Bezpe�cnost IT
Jan Staudek
http://www.�.muni.cz/usr/staudek/vyuka/
} w���������� ������������ !"#$%&'()+,-./012345<yA|Verze : podzim 2019
Projekt zaveden��, implementace ISMS
2 ISO/IEC 27003 : 2010
Information technology | Security techniques |
Information security management system implementation
guidance
N�avod k implementaci ISMS {
jak zah �ajit, napl �anovat a de�novat projekt zav �ad�ej��c�� ISMS
formou zak �azky �re�sen �e organizac�� c��len �e
{ na zaveden�� ISMS a
{ na integraci ISMS mezi ostatn�� podnikatelsk �e (byznys) procesy organizace
Jan Staudek, FI MU Brno | PV017 { Projekt implementace ISMS 1
F �aze zak �azky projekt implementace ISMS
2
ZAH �AJEN�I PROJEKTU IMPLEMENTACE ISMS
1. Z��sk �an�� souhlasu veden�� organizace s projektem implementace ISMS
2. De�nov �an�� oblasti p �usobnosti ISMS a politiky ISMS
P �R�IPRAVA IMPLEMENTACE ISMS
3. Anal �yza po�zadavk �u organizace na informa�cn�� bezpe�cnost
4. Ohodnocen�� rizik a vypracov �an�� pl �anu zvl �adnut�� rizik
N �AVRH ISMS
5. N �avrh a implementace ISMS
Jan Staudek, FI MU Brno | PV017 { Projekt implementace ISMS 2
Nejprve k metod �am �r��zen�� realiza�cn��ho projektu obecn�e
2 N�avrh, implementace a zaveden�� ISMS je projekt
2 Co je to projekt { obecn �a charakteristika
X jedine�cn �a soustava �cinnost��
X sm�e�ruj��c��ch k p�redem stanoven �emu a jasn�e de�novan �emu c��li,
X kter �a m �a ur�cen �y za�c �atek a konec,
X kter �a vy�zaduje spolupr �aci r �uzn �ych profes��,v �a�ze jejich kapacity a jejich �usil�� a
X vyu�z��v �a (p�r��padn�e spot�rebov �av �a) pro vytvo�ren�� c��lov �ych v �ystup �u
{ informace,
{ materi �al,
{ pen��ze,
{ schopnosti a dovednosti z �u�castn�en �ych lid��
Jan Staudek, FI MU Brno | PV017 { Projekt implementace ISMS 3
Metodologie n �avrhu a implementace ISMS
2 Projekt v�zdy zam�estn �av �a skupinu lid��
a ovliv �nuje jin �e skupiny lid��.
2 Projekt je v�zdy spojen s rizikem ne �usp�echu,
pon�evad�z je jedine�cn �y a nikdy zcela p�resn�e nev��me,
co n �as v pr �ub�ehu jeho realizace �cek �a nebo zasko�c��.
2 Abychom v�sak mohli projekt �r��dit k �usp�echu, mus��me m��t
n�ejak �y sc �en �a�r �ci osnovu. T��mto jsou pl �any projektu.
2 P�r��klady pl �anovan �ych �ukol �u
X ur�cen�� zp �usobu �r��zen�� projektu (waterfall, agiln�� p�r��stup, . . . )ur�cen�� zp �usobu zaji�st �en�� integrace r �uzn �ych �r��dic��ch syst �em�u,identi�kace kl���cov �ych odpov�ednost��,identi�kace po�zadovan �ych zdroj �u v pr �ub�ehu �zivotn��ho cyklu projektu,rozhodnut�� o vyu�z��v �an�� konzultant �u, . . . , . . .
Jan Staudek, FI MU Brno | PV017 { Projekt implementace ISMS 4
Metodologie n �avrhu a implementace ISMS
2 �Usp�ech projektu tedy znamen �a spln�en�� c��le ve t�rech
dimenz��ch:
X v�ecn�e (CO, JAK, a V JAK �E KVALIT �E se m�a ud�elat),
X �casov�e (KDY m�a b �yt co provedeno { etapy/f �aze, kroky, �ukony) a
X n �akladov�e (ZA KOLIK se to m�a ud�elat,nejprve ve spot�rebovan �e pr �aci a pak v pen�ez��ch).
2 Tento trojimperativ projektu v podstat�e odpov��d �a tomu, jak
je v obchodn��m z �akon��ku vymezena smlouva o d��lo.
X Kazda smlouva o dılo musı obsahovatspecifikaci plnenı (CO A JAK, V JAKE KVALITE),termıny (KDY) acenu (ZA KOLIK),aby to smlouva o dılo byla
Jan Staudek, FI MU Brno | PV017 { Projekt implementace ISMS 5
Metody �r��zen�� realiza�cn��ho projektu
2 Standard ISO/IEC 27001 p �uvodn�e direktivn�e p�redpisoval
pou�z��t pro projekt implementace ISMS procesn�� p�r��stup
podle metodologie PDCA
X PDCA, Plan–Do-Check-Act, pl �anuj, ud�elej, zkontroluj, jednejX tak �e Deming �uv cyklus nebo PDCA cyklus
metoda postupn �eho zlep�sov �an�� nap�r��klad kvality v �yrobk �u, slu�zeb,proces �u, aplikac��, dat, prob��haj��c�� formou opakovan �eho prov �ad�en���cty�r zm��n�en �ych �cinnost��. Deatily viz nap�r-http://mostechinformationsite.blogspot.cz/2014/10/pdca-cycle-of- quality-management-basic.html
2 Dal�s�� aplikovateln �e metody �r��zen��
X COBIT, http://www.isaca.org/cobit/pages/default.aspxX ITIL, https://managementmania.com/cs/information-
technology-infrastructure-library
Jan Staudek, FI MU Brno | PV017 { Projekt implementace ISMS 6
Model PDCA, Plan–Do-Check-Act
2 Model PDCA je �siroce uplat �novan �y v podnik �an��, v �r��zen��
kvality, . . .
2 ISMS mus�� b �yt mj. integrovan �y s �r��dic��mi syst �emy nap�r. pro
{ �r��zen�� kvality (dle standardu ISO 9001) a
{ pro udr�zov �an�� �zivotn��ho prost�red�� ( ISO 14001)
2 Tyto �r��dic�� syst �emy rovn�e�z pou�z��vaj�� model PDCA
a tud���z je pou�zit�� modelu PDCA pro projekt ISMS
up�rednost �nov �ano
Jan Staudek, FI MU Brno | PV017 { Projekt implementace ISMS 7
PDCA cyklus v �yvoje ISMS
Jan Staudek, FI MU Brno | PV017 { Projekt implementace ISMS 8
PDCA { f �aze
2 PLAN (z�r��zen�� ISMS)
X De�nice oblasti ISMS
X De�nice politiky informa�cn�� bezpe�cnosti
X De�nice systematick �eho p�r��stupu k ohodnocov �an�� rizik
X Vypracov �an�� procedur �re�s��c��ch ohodnocen�� rizika proveden�� ohodnocen�� rizik
c��l { v kontextu politiky a oblasti ISMS identi�kovat d �ule�zit �ainforma�cn�� aktiva a rizika, kter �ym jsou tato aktiva vystavena
X Identi�kace a vyhodnocen�� mo�znost�� jak zvl �adat rizika
X V �yb�er c��l �u ochran aimplementovateln �ych opat�ren�� pro ka�zdou mo�znost
X Vypracov �an�� Prohl �a�sen�� o aplikovatelnosti vybran �ych opat�ren��
(pokryt �e bezpe�cnostn�� c��le a vlastnosti vybran �ych opat�ren��)
Jan Staudek, FI MU Brno | PV017 { Projekt implementace ISMS 9
PDCA { f �aze
2 DO (implementace ISMS)
X Formulace pl �anu zvl �ad �an�� rizik, vytvo�ren�� jeho dokumentace{ syst �emov �a, detailn��, bezpe�cnostn�� politika{ de�nice proces �u a procedur pln��c��ch bezpe�cnostn�� opat�ren��
X Implementace v�sech opat�ren�� ur�cen �ych v pl �anu zvl �ad �an�� rizik
X Implementace procedur (opat�ren��) umo�z �nuj��c��ch promptn�� detekcibezpe�cnostn��ch incident �u a reakce na n�e
X Za�skolen�� relevantn��ch zam�estnanc �u,de�nice programu systematick �e v �ychovy k bezpe�cnostn��mu uv�edom�en��
X Zaji�st �en�� zdroj �u a operac�� pro v �ykon �cinnost�� ISMS
Jan Staudek, FI MU Brno | PV017 { Projekt implementace ISMS 10
PDCA { f �aze
2 CHECK (sledov �an�� a posuzov �an�� v �ykon �u provozovan �eho ISMS)
X monitorov �an��, ohodnocov �an��, testov �an��, audit �cinnost�� �r��zen �ych ISMS
X vytv �a�ren�� d �ukaz �u, shroma�zd'ov �an�� v �ysledk �u monitorov �an��, . . .
X posuzov �an�� a tam kde to jde i m�e�ren��, v �ykon �u proces �u protibezpe�cnostn�� politice, c��l �um a praktick �ym zku�senostem
X generov �an�� zpr �av pro posouzen�� managementem
X m�e�ren�� �u�cinnosti syst �emu �r��zen�� a opat�ren��, kter �a jej implementuj��
2 ACT ( �udr�zba a vylep�sen�� ISMS)
X Proveden�� oprav a zm�enna z �aklad�e v �ysledk �u posouzen�� managementem
X Identi�kace, dokumentace a implementace vylep�sen�� ISMS
Jan Staudek, FI MU Brno | PV017 { Projekt implementace ISMS 11
Uk �azka aplikace PDCA cyklu na procesy �r��zen�� rizik
X Detailn�ej�s�� pozn �amky k PDCA cyklu viz Dodatek l t �eto p�redn �a�sky
Jan Staudek, FI MU Brno | PV017 { Projekt implementace ISMS 12
Demonstrace c��le a z �avazku managementem
2 ISO 27001 po�zaduje, aby management organizace
demonstroval, �ze implementaci ISMS �rad�� mezi sv �e c��le, a
m �a v �uli ISMS implementovat, co�z dokazuj�� kroky:
X Stanoven�� politiky ISMS a c��l �u informa�cn�� bezpe�cnosti, kter �e mus�� b �ytkompatibiln�� s orientac�� podnikatelsk �e strategie organizace
X Zaji�st �en�� integrace ISMS mezi ostatn�� procesy organizace
X Zaji�st �en�� dostupnosti zdroj �u vy�zadovan �ych pro ISMS
X Prob�ehlo sezn �amen�� organizace s d �ule�zitost�� �r��zen�� InSec
X Zaji�st'ov �an��, aby ISMS dos �ahl zam �y�slen �ych v �ysledk �u stanoven �ychpolitikou a c��li informa�cn�� bezpe�cnosti
X Veden�� a podpora perzon �alu k p�risp��v �an�� k �u�cinnosti ISMS
X Prosazov �an�� kontinu �aln��ho vylep�sov �an�� ISMS
X Podporov �an�� mana�zersk �ych rol��
Jan Staudek, FI MU Brno | PV017 { Projekt implementace ISMS 13
Projek�cn�� t �ym, �r��dic�� v �ybor
2 Pro n �avrh a implementaci by m�el nejvy�s�s�� management
ustanovit projek�cn�� t �ym a/nebo �r��dic�� v �ybor
X T �ym by m�el v �est �clen st�redn��ho �ci ni�z�s��ho managementu s del�s�� prax��
X Nen�� vhodn �y IT mana�zer, ti maj�� z pohledu podnik �an�� ni�z�s�� kredibilitu
X T �ym by m�el sest �avat jak z kl���cov �ych byznys mana�zer �u,tak i z technick �ych expert �u na InSec a na IT
X Experty na InSec a na IT lze zajistit i smluvn�e,pak je ale nutn �e uplatnit odpov��daj��c�� opat�ren��pro bezpe�cnou participaci t�ret��ch stran (NDA, . . . )
2 V��ce dopl �nuj��c��ch pozn �amek k pr �aci t �ymu
viz Dodatek 2 t �eto p�redn �a�sky
Jan Staudek, FI MU Brno | PV017 { Projekt implementace ISMS 14
Cestovn�� mapa PDCA cyklu ISMS
Jan Staudek, FI MU Brno | PV017 { Projekt implementace ISMS 15
Zah �ajen�� projektu, d��l�c�� f �aze
2 Uv�edom�en�� pot�reby ISMS
X Vysv�etlov �an�� p�redev�s��m vy�s�s��m mana�zer �umpro�c je ISMS pot�rebn �y a co se j��m rozum��, co ovlivn��
X Nasazen�� ISMS je podnikatelsk �y projekt nikoli technick �y projekt
X Pokud nebude m��t podporu veden�� spole�cnosti, vy�s�s��ho managementua relevantn��ch mana�zer �u, padne
2 Z��sk �an�� odborn �ych zku�senost��
X d�ukladn �a v �ychova a tr �ening dovednost�� a znalost�� �clen �u t �ymu
2 Vymezen�� prostoru
X ur�cen�� hranic p �usobnosti ISMS
2 Formulov �an�� politiky
X v �yvoj a odsouhlasen�� politiky informa�cn�� bezpe�cnosti organizace
X tato politika vymezuje orientaci ISMS v kontextu podnikatelsk �ych c��l �u
Jan Staudek, FI MU Brno | PV017 { Projekt implementace ISMS 16
Zdroje informac�� pro tvorbu politiky informa�cn�� bezpe�cnosti
2 Zdroje n �avod �u k postupu budov �an�� politiky informa�cn��
bezpe�cnosti a ISMS v prost�red�� IS0 27000
http://www.itil.cz/, ITIL { IT Governance
http://www.iso27001security.com/html/iso27000.html
2 Zdroj n �avod �u k postupu budov �an�� politiky informa�cn��
bezpe�cnosti
X http://www.yourwindow.to/
X Your Window To Information Security Policiesand Disaster Recovery
Jan Staudek, FI MU Brno | PV017 { Projekt implementace ISMS 17
F �aze projektu implementace ISMS
Jan Staudek, FI MU Brno | PV017 { Projekt implementace ISMS 18
D��l�c�� kroky f �az�� projektu implementace ISMS
1. Z��sk �an�� souhlasu veden�� organizace pro zah �ajen�� implem. ISMS
1.1 Objasn�en�� priorit organizace pro projekt ISMS
1.2 P�redb�e�zn �a de�nice oblasti p �usobnosti ISMS
1.3 Vytvo�ren�� zak �azky a pl �anu projektu implementace ISMS
pro odsouhlasen�� veden��m organizace
2. De�nov �an�� oblasti p �usobnosti ISMS a politiky ISMS
2.1 De�nov �an�� oblasti a hranic inf. bezpe�cnosti v organizaci
2.2 De�nov �an�� oblasti a hranic
informa�cn��ch a komunika�cn��ch technologi�� (ICT)
2.3 De�nov �an�� fyzick �e oblasti a hranic
2.4 Integrace v�sech oblast�� a hranic do oblasti a hranic ISMS
2.5 V �yvoj politiky ISMS a z��sk �an�� souhlasu od veden��
Jan Staudek, FI MU Brno | PV017 { Projekt implementace ISMS 19
D��l�c�� kroky f �az�� projektu implementace ISMS
3. Anal �yza po�zadavk �u organizace na informa�cn�� bezpe�cnost
3.1 De�nov �an�� po�zadavk �u organizace na inf. bezpe�cnost
3.2 Identi�kace aktiv v oblasti p �usobnosti ISMS
3.3 Ohodnocen�� informa�cn�� bezpe�cnosti
4. Ohodnocen�� rizik a vypracov �an�� pl �anu zvl �adnut�� rizik
4.1 Ohodnocen�� rizik
4.2 V �yb�er c��l �u opat�ren�� a opat�ren�� {
Prohl �a�sen�� o aplikovatelnosti
4.3 Z��sk �an�� souhlasu veden�� organizace s implementac�� a
provozov �an��m ISMS,
vypracov �an�� pl �anu zvl �adnut�� rizik
Jan Staudek, FI MU Brno | PV017 { Projekt implementace ISMS 20
D��l�c�� kroky f �az�� projektu implementace ISMS
5. N �avrh ISMS
5.1 N �avrh informa�cn�� bezpe�cnosti v organizaci
5.2 N �avrh fyzick �e a ICT informa�cn�� bezpe�cnosti
5.3 N �avrh informa�cn�� bezpe�cnosti speci�ck �e pro ISMS
5.4 Vytvo�ren�� �n �aln��ho pl �anu projektu ISMS
2 Detailn�� popisy d��l�c��ch krok �u v�sech p�eti f �az�� obsahuje
Dodatek 2 (Projekt) t �eto p�redn �a�sky
Jan Staudek, FI MU Brno | PV017 { Projekt implementace ISMS 21
Role dokumentace ISMS
2 Procesy v organizaci opakovateln �e, odoln �e v �u�ci ztr �at�e znalost��
nap�r. po v �ypov�edi n�ekter �eho zam�estnance, mus�� b �yt
dokumentovan �e
X Opakovateln �e procesy jsou pak konzistentn�ej�s�� a v��ce p�redv��dateln �e
2 �U�cinnost ka�zd �eho syst �emu �r��zen�� z �avis�� na pat�ri�cn �e, korektn��
dokumentaci jeho proces �u
X a na archivu z �aznam�u demonstruj��c��ch jeho nedostatky
2 ISO 27001 po�zaduje dostupnost dokumentace
X jak ka�zd �eho bezpe�cnostn��ho opat�ren�� ISMS a
X tak i relevantn��ho ISMS
2 Dob�re funguj��c�� ISMS je pln�e dokumentovan �y
Jan Staudek, FI MU Brno | PV017 { Projekt implementace ISMS 22
Role dokumentace ISMS
2 Tvorba dokumentace ISMS je �casov�e nejn �aro�cn�ej�s�� �c �ast
projektu
2 Dokumentace ISMS mus�� b �yt
X �upln �a, vy�cerp �avaj��c��
X v souladu s po�zadavky standardu ISO 27001
X ve form�e odpov��daj��c�� �remn��mu stylu a kultu�re
2 Dokumentace mus�� b �yt dostupn �a a pou�ziteln �a a
adekv �atn�e chr �an�en �a
Jan Staudek, FI MU Brno | PV017 { Projekt implementace ISMS 23
Po�zadavky na dokumentaci ISMS
2 Organizace mus�� m��t syst �em �r��zen�� dokumentace ur�cuj��c��
X jak se informace distribuuj��, zp�r��stup �nuj��, z��sk �avaj�� a pou�z��vaj��
X jak mus�� b �yt informace uchov �avan �e a chr �an�en �e, v�c. udr�zen�� �citelnosti
X zm�enov �e �r��zen�� v dokumentaci
X pravidla skladov �an�� a likvidace dokumentace
X zp �usob identi�kace a spr �avy dokument �u chr �an�en �ych autorsk �ymi pr �avy
X zp �usob identi�kace a zach �azen�� s informacemipodle jejich klasi�ka�cn�� �urovn�e z hlediska d �uv�ernosti
X zp �usob zach �azen�� s informacemi perzonalistick �eho charakteru
2 Jsou dostupn �e syst �emy pro �r��zen�� dokumentov �ych z �akladen
ISMS obsahuj��c�� p�redp�ripraven �e �sablony, . . .
X http://www.itgovernance.co.uk/shop/p-1462-iso-27001-iso27001- isms-documentation-toolkit.aspx
X http://advisera.com/27001academy/iso-27001-documentation- toolkit/
Jan Staudek, FI MU Brno | PV017 { Projekt implementace ISMS 24
Dokumentace ISMS
2 Minim�aln�� skladba dokument �u ISMS dle ISO 27001 je
X politika informa�cn�� bezpe�cnosti, de�nice oblasti ISMS,v �ysledky hodnocen�� rizik, c��le �r��zen��, prohl �a�sen�� o aplikovatelnosti
X d�ukazy akc�� proveden �ych organizac�� a veden��m p�ri speci�kaci oblasti(z �apis z jedn �an�� veden��)
X popis �r��dic�� struktury projektu ISMS (�r��dic�� v �ybor apod.)v n �avaznosti na organiza�cn�� sch �ema organizace
X pl �an zvl �ad �an�� rizik a podp �urn �e dokumentovan �e procedury(odpov�ednosti, po�zadovan �e akce) implementuj��c�� ka�zd �e opat�ren��
{ procedura: kdo m�a co, jak, kdy, z jak �ych podm��nek ud�elat
X procedury (odpov�ednosti, po�zadovan �e akce) �r��zen�� a inspekce ISMS
2 Posledn�� dv�e komponenty tvo�r�� manu �al politiky ISMSX mus�� b �yt dostupn �y v�sem zam�estnanc �um, elektronicky, tiskem
X mus�� b �yt strukturovan�e �c��slovan �y, s udr�zov �an��m reviz��, . . .
X podrobn�eji se Manu �alu ISMS v�enuje Dodatek 3 t �eto p�redn �a�sky
Jan Staudek, FI MU Brno | PV017 { Projekt implementace ISMS 25
4-vrstv �a struktura dokumentov �e z �akladny ISMS
Jan Staudek, FI MU Brno | PV017 { Projekt implementace ISMS 26
4-vrstv �a struktura dokumentov �e z �akladny ISMS
2 Autoriza�cn�� �urovn�e dokumentace
X 1. �urove �n { vrcholov �y management, Board of DirectorsX 2. �urove �n { CSO (Chief Security O�cer), spr �avce bezpe�cnosti
po projedn �an�� s �r��dic��m v �yborem informa�cn�� bezpe�cnosti
X 3. �urove �n { CISO (Chief Information Security O�cer),spr �avce informa�cn�� bezpe�cnosti + �sefov �e odd�elen��/odbor �u organizace
X 4. �urove �n { CISO (Chief Information Security O�cer),spr �avce informa�cn�� bezpe�cnosti + �sefov �e odd�elen��/odbor �u organizace
Jan Staudek, FI MU Brno | PV017 { Projekt implementace ISMS 27
4-vrstv �a struktura dokumentov �e z �akladny ISMS
1. vrstva { Politiky
X Nastaven�� politik { strategick �e pom�ern�e �r��dce m�en�en �e dokumentyna vysok �e �urovni abstrakce, stanoven�� princip �u
X Dokumenty autorizovan �e nejvy�s�s��m managementemautorizace = demonstrace odpov�ednosti nejvy�s�s��ho veden�� za politiky
X P�r��klady dokument �u 1. �urovn�e
{ vymezen�� zabezpe�covan �e oblasti,{ politika informa�cn�� bezpe�cnosti,{ pl �an �re�sen�� proces �u PDCA p�ri v �yvoji ISMS{ v �ysledek hodnocen�� rizik,{ prohl �a�sen�� o aplikovatelnosti,{ pl �an zvl �ad �an�� rizik,{ manu �al ISMS{ . . .
Jan Staudek, FI MU Brno | PV017 { Projekt implementace ISMS 28
4-vrstv �a struktura dokumentov �e z �akladny ISMS
2. vrstva { Procedury
X popis procedur pro implementaci politik,nastaven�� podnikatelsk �ych po�zadavk �u, procedur a proces �u
X Dokumenty autorizovan �e v �ykonn �ym managementem,konkr �etn�e t�emi, kte�r�� jsou odpov�edn�� za prosazov �an�� politikv konkr �etn��ch oblastech podnik �an��,a CSO (Chief Security O�cer), spr �avcem bezpe�cnosti,v�zdy v�sak po projedn �an�� s �r��dic��m v �yborem informa�cn�� bezpe�cnosti
X p�r��klad: politika �r��zen�� p�r��stupu si vy�z �ad �a procedury:
{ spr �ava u�zivatel �u (User Management): z�rizov �an�� �u�ct �u, . . .{ p�rid�elov �an�� p�r��stupov �ych pr �av . . .
X procedury se mohou m�enit v pr �ub�ehu roku tak, aby reagovaly nakonkr �etn�� podnikatelsk �e podm��nky a po�zadavky,zm�eny se sm�� v�sak odehr �avat pouze v mez��ch stanoven �ych politikamischv �alen �ymi nejvy�s�s��m managementem
Jan Staudek, FI MU Brno | PV017 { Projekt implementace ISMS 29
4-vrstv �a struktura dokumentov �e z �akladny ISMS
3. vrstva { Pracovn�� instrukce
X Uplat �nov �an�� politik p�ri konkr �etn��ch �cinnostech organizace,instrukce pro prov �ad�en�� konkr �etn��ch �ukol �u zam�estnanci,v�c. m�e�ren�� �u�cinnosti opat�ren��, v organizaci, v jednotliv �ych odd�elen��ch
X dokumenty typu smlouva s u�zivatelem, popis pr �ace, apod.(nap�r. jak postupovat p�ri uzav��r �an�� dohody se vzd �alen�e pracuj��c��mzam�estnancem)
X jsou vytv �a�ren �e vlastn��ky podnikatelsk �ych aktiv/proces �u,autorizovan �e jejich p�r��m �ymi nad�r��zen �ymi a spr �avceminforma�cn�� bezpe�cnosti, CISO (Chief Information Security O�cer)
X jsou pravideln�e p�rezkoumavan �e a vylep�sovan �e, m�en�� se pom�ern�e�casto, tak jak se m�en�� pracovn�� metody (ISMS se pr �ub�e�zn�e vylep�suje),p�r��padn�e tak jak se identi�kuj�� rizika (preventivn�� akce)nebo selh �avaj�� opat�ren�� (opravn �e akce)
X zm�eny v pracovn��ch instrukc��ch se sm�� v�sak odehr �avatpouze v mez��ch stanoven �ych procedurami, kter �e implementuj��
Jan Staudek, FI MU Brno | PV017 { Projekt implementace ISMS 30
4-vrstv �a struktura dokumentov �e z �akladny ISMS
4. vrstva
Zpr �avy
X zpr �avy o tom, co se stalo, jak ISMS b�e�zel
X z �apisy, logy, z �aznamy o incidentech, . . . ,v �ysledky audit �u z f �aze CHECK . . . ,
X formul �a�re, �sablony pro tyto dokumenty
Jan Staudek, FI MU Brno | PV017 { Projekt implementace ISMS 31
Z �akladn�� dokumenty ISMS
2 Celkov �a politika informa�cn�� bezpe�cnosti oblasti organizace
X de�nuje
{ zabezpe�covanou oblast organizace,{ se rozum�� bezpe�cnost�� informac��,{ komponenty a �u�cel ISMS a{ faktory ovliv �nuj��c�� �r��zen�� �cinnosti orgranizace plynouc��z de�novan �eho a systematick �eho p�r��stupu k informa�cn�� bezpe�cnosti
X je vypracovan �a na vysok �e �urovni abstrakce
X je odsouhlasen �a vrcholov �ym managementem organizace
X jej�� vypracov �an�� vy�zaduje ISO 27002
X ISO 27001 vy�zaduje politiku ISMS
X ob�e politiky se mohou dopl �novat, nahrazovat,�z �adn �a nen�� implicitn�e nad�razen �a druh �e
X Typovou strukturu politiky ISMS uv �ad�� Dopln�ek 4 t �eto p�redn �a�sky
Jan Staudek, FI MU Brno | PV017 { Projekt implementace ISMS 32
Z �akladn�� dokumenty ISMS
2 Pl �an zvl �ad �an�� rizik organizace
X tak �e { syst �emov �a politika informa�cn�� bezpe�cnosti
X tak �e { syst �emov �a politika informa�cn�� bezpe�cnosti syst �emu XYZ
X popis jak mus�� b �yt zvl �adan �a rizika z pohledu informa�cn�� bezpe�cnostiv konkr �etn�e de�novan �e oblasti
Jan Staudek, FI MU Brno | PV017 { Projekt implementace ISMS 33
ISMS d �ale obsahuje dokumenty
{ Z oblasti spr �avy informa�cn�� bezpe�cnosti
2 Soupis citliv �ych informa�cn��ch aktiv v oblasti
(data, informa�cn�� syst �emy)
2 Hodnocen�� zranitelnost��, hrozeb a rizik pro tato aktiva
2 Manu �al ISMS obsahuj��c�� Prohl �a�sen�� o aplikovatelnosti
X identi�kace opat�ren�� { funkc�� prosazuj��c�� bezpe�cnost {odpov��daj��c��ch zvl �adan �ym rizik �um
{ Z oblasti n �astroj �u pro pln�en�� spr �avy informa�cn�� bezpe�cnosti
2 �Upln �a, vz �ajemn�e souvisej��c�� sestava
popis �u proces �u, politik, procedur a n �avod �u k �cinnostem
zaji�st'uj��c�� informa�cn�� bezpe�cnost v oblasti
Jan Staudek, FI MU Brno | PV017 { Projekt implementace ISMS 34
Typick �a dokumentov �a z �akladna ISMS, systematizace
2 Dokumenty tvo�r��c�� Manu �al ISMS
X Politika informa�cn�� bezpe�cnosti, de�nice oblasti pokryt �e ISMS,metodologie ohodnocov �an�� rizik, v �ystup procesu ohodnocen�� rizik,prohl �a�sen�� o aplikovatelnosti, klasi�ka�cn�� sch �ema informac��,procedury podporuj��c�� ISMS, . . . { detaily viz dopln�ek p�redn �a�sky
X Manu �al je dostupn �y v�sem zam�estnanc �um v ti�st�en �e a/nebov elektronick �e form�e
X Zam�estnanci maj�� b �yt �skolen�� podle manu �alu ISMS
2 D�ukazy akc�� proveden �ych organizac�� a jej��m veden��m p�ri
speci�kaci oblasti ISMS
X z �apisy ze sch �uz�� veden��, zpr �avy specialist �u, . . .
2 Popis syst �emu �r��zen�� informa�cn�� bezpe�cnosti
X �r��d��c�� v �ybor, CISO, . . .
X syst �emu �r��zen�� by m�el odpov��dat organiza�cn��mu sch �ematu organizace
Jan Staudek, FI MU Brno | PV017 { Projekt implementace ISMS 35
Typick �a dokumentov �a z �akladna ISMS, systematizace
2 Pl �an zvl �ad �an�� rizik, syst �emov �a bezpe�cnostn�� politika
X odpov�ednosti a po�zadovan �e akce
X v�c. podp �urn �ych dokumentovan �ych procedur implementuj��c��chstanoven �a opat�ren��
{ kdo m�a co d�elat, za jak �ych podm��nek, kdy, jak{ typicky jedna procedura / ka�zd �e implementovan �e opat�ren��{ detailn�� popisy pracovn��ch postup �u identi�kovan �e v manu �alu ISMS,s autorizacemi
X vypracovan �y obvykle na detailn�ej�s�� �urovni ne�z manu �al ISMS
X typicky d �uv�ern �y dokument s omezenou dostupnost�� pro role ur�cen �ev ISMS v souladu s klasi�ka�cn��m sch �ematem ur�cen �ym politikou
2 Procedury �r��d��c�� spr �avu a inspekci ISMS
X odpov�ednosti a po�zadovan �e akce
X sou�c �ast manu �alu ISMS
Jan Staudek, FI MU Brno | PV017 { Projekt implementace ISMS 36
Typick �a dokumentov �a z �akladna ISMS, systematizace
2 Pracovn�� instrukce
X detailn�� popisy krok �u pln��c��ch �ukoly p�redesan �e procedurami
2 Formul �a�re, �sablony, zpr �avy o auditech, . . .
X v�c. z �aznam�u o efektivnosti ISMS pro �u�cely intern��ch audit �u ap�rezkoum�av �an�� managementem
Jan Staudek, FI MU Brno | PV017 { Projekt implementace ISMS 37
Jak vytv �a�ret dokumentaci ISMS ?
2 Metoda pokus �u a omyl �u, prvn�� tvorba, pouze vlastn��mi silami
X Typicky pot�rebn �a doba: 14 { 19 m�es��c �u
{ porozum�en�� po�zadavk �um: 1 m�es��c{ pl �anov �an��:1 m�es��c{ vypracov �an�� politiky informa�cn�� bezpe�cnosti: 1 m�es��c{ vypracov �an�� prohl �a�sen�� o aplikovatelnost: 2 m�es��ce{ vypracov �an�� procedur: 4 { 6 m�es��c �u{ vypracov �an�� pracovn��ch instrukc��: 5 { 9 m�es��c �u
X Kritika
{ velk �a �casov �a n �aro�cnost, absence znalosti nejlep�s��ch postup �u
{ projekt pravd�epodobn�e sel�ze d��ky nezku�sen �emu veden��
Jan Staudek, FI MU Brno | PV017 { Projekt implementace ISMS 38
Jak vytv �a�ret dokumentaci ISMS ?
2 Extern�� spolupr �ace, dokumenty vypracuj�� extern�� konzultanti
X Typicky pot�rebn �a doba: 10 { 14 m�es��c �u
{ porozum�en�� po�zadavk �um: 1 t �yden{ pl �anov �an��:1 t �yden{ vypracov �an�� politiky informa�cn�� bezpe�cnosti: 1 m�es��c{ vypracov �an�� prohl �a�sen�� o aplikovatelnost: 2 m�es��ce{ vypracov �an�� procedur: 3 { 5 m�es��c �u{ vypracov �an�� pracovn��ch instrukc��: 4 { 6 m�es��c �u
X P�r��nosy
{ rychl �e �re�sen��, dostupnost znalosti nejlep�s��ch postup �u
{ projekt pravd�epodobn�e nesel�ze d��ky zku�sen �emu veden��
X Kritika
{ vysok �e n �aklady
{ obt���zn�e �re�siteln �e pr �ub�e�zn �e vylep�sov �an�� ISMS (Cyklus PDCA)
Jan Staudek, FI MU Brno | PV017 { Projekt implementace ISMS 39
Jak vytv �a�ret dokumentaci ISMS ?
2 Pou�zit�� n �avod �u a dokumentov �eho n �astroje p�ripraven �eho t�ret��
stranou
X �re�sen�� vlastn��mi silami podle prototyp �u
X p�r��klady prototyp �u: www.itgovernance.co.uk
X Typicky pot�rebn �a doba: 4 { 7 m�es��c �u
{ porozum�en�� po�zadavk �um: 1 t �yden{ pl �anov �an��:1 t �yden{ vypracov �an�� politiky informa�cn�� bezpe�cnosti: 2 { 4 t �ydny{ vypracov �an�� prohl �a�sen�� o aplikovatelnost: 2 m�es��ce{ vypracov �an�� procedur: 1 { 2 m�es��ce{ vypracov �an�� pracovn��ch instrukc��: 2 { 4 m�es��ce
X P�r��nosy
{ rychl �e �re�sen��, dostupnost znalosti nejlep�s��ch postup �u{ n �akladov�e efektivn�� �re�sen��{ projekt pravd�epodobn�e nesel�ze d��ky postupu podle norem{ snadn�eji �re�siteln �e pr �ub�e�zn �e vylep�sov �an�� ISMS (Cyklus PDCA)
Jan Staudek, FI MU Brno | PV017 { Projekt implementace ISMS 40
Testov �an��
2 Pro�c se testuje ISMS ?
X Funguj�� procedury �r��zen�� tak jak bylo zam �y�sleno ?
X Funguj�� bezpe�cnostn�� opat�ren�� tak jak bylo zam �y�sleno ?
2 Typy test �u
X d�ukladn �y audit (intern��m nebo extern��m) auditorem,zkoumaj�� se dokumentovan �e procedury a demonstruje se jejich �cinnost
X ,,pap��rov �e"testov �an��,logick �e testov �an�� opat�ren�� a procedur na z �aklad�e znalosti zranitelnost��,konstrukc�� opat�ren��, projev �u hrozeb,. . .
X re �aln �e testov �an��,penetra�cn�� testy, testy ztr �aty energie, . . .
X rozs �ahl �e sc �en �a�rov�e orientovan �e testy { testy pl �anu zachov �an�� �cinnosti,
2 B�ehem roku se m�a testovat ka�zd �y rys, vlastnost, . . . ISMS
Jan Staudek, FI MU Brno | PV017 { Projekt implementace ISMS 41