11000-Informační bezpečnost

Informační bezpečnost
Informační bezpečnost se vztahuje na aktiva ICT příslušné společnosti. Je vymezena bezpečnostním perimetrem a platí v ní pravidla určená bezpečnostními politikami.

Struktura problematiky:

1. Organizační bezpečnost – vychází z řízení informační bezpečnosti (ISMS) a řídí se doporučeními norem řady 27000

a) Řízení aktiv – klasifikace a zhodnocení aktiv ICT
– jmenování garantů aktiv
– je základem pro analýzu rizik
b) Řízení rizik – analýza rizik
– analýza hrozeb
– analýza dopadů
– akceptace rizik po analýze
– je základem pro výběr bezpečnostních opatření
c) Řízení kontinuity činnosti
– stanoví pravidla pro zachování činnosti organizace při incidentu
– její součástí jsou bezpečnostní směrnice pro ochranu dat a procesů
d) Zvládání incidentů
– definuje pojmy událost a incident
– určuje postupy při bezpečnostních incidentech
e) Řízení dodavatelů
– definuje dodavatelsko-odběratelský řetězec
– provádí pravidelné hodnocení dodavatelů

2. Fyzická bezpečnost – definuje pravidla přístupu k aktivům společnosti

a) Řízení přístupů– řízení přístupových práv
– objektových
– systémových
– administrátorských
– uživatelských
b) Objektová bezpečnost – ochrana aktiv v objektech organizace
c) Osobní bezpečnost
– ochrana uživatelů a jejich aktiv
– školení administrátorů a uživatelů

3. Síťová bezpečnost– definuje pravidla v síťovém prostředí

a) Řízení provozu– zabezpečení rutinní činnosti organizace
b) Řízení komunikace – zabezpečení komunikací vnitřních i vnějších
– Technická řešení– síťová bezpečnostní řešení

4. Bezpečnost dat– definuje pravidla nakládání s daty

a) Klasifikace dat– je základem řízení bezpečnosti dat
b) Ochrana dat – bezpečnostní pravidla pro ochranu dat
– ochrana osobních dat – GDPR
c) Technická řešení – bezpečnostní opatření pro ochranu dat
– zálohy a archivace
– pravidla pro zálohování dat
– pravidla pro archivaci dat
– šifrování – pravidla pro šifrování dat

5. Dokumentace – dokumentuje aktuální stav informační bezpečnosti v organizaci

a) Rozsah ISMS a politiky
– definování rozsahu ISMS
– dokumentované bezpečnostní politiky organizace
b) Příručka ISMS – povinný dokument při a po zavedení ISMS v organizaci
c) PoA – povinný dokument při zavedení ISMS v organizaci
– prohlášení o aplikovatelnosti – aktuální stav bezpečnostních opatření

6. Směrnice – směrnice platné pro oblast informační bezpečnosti

7. SAE

a) budování bezpečnostního povědomí v organizaci
b) členění uživatelů
c) definování stupně bezpečnostního školení

Zkratky – vysvětlivky:
ISMS – Information Security Management System (Systém řízení informační bezpečnosti)
SAE – Security Awareness and Education (Budování bezpečnostního povědomí)
PoA – Prohlášení o aplikovatelnosti (opatření)
GDPR – General Data Protection Regulation (Nařízení pro ochranu dat)