4SA515
Řízení kontinuity organizace (BCM - Business Continuity Management)
- holistický manažerský proces, který identifikuje možné hrozby a jejich potenciální dopady na chod organizace a který poskytuje rámec pro prohlubování odolnosti organizace tím, že rozšiřuje její schopnosti efektivně reagovat na krizové události a tím chránit zájmy svých klíčových partnerů a zákazníků, svoji pověst, značku a svoje činnosti vedoucí k vytváření hodnot. [BS_259]
Označení monitorovaných prostor informačními tabulkami
1. Informační tabulky musí být u monitorovaného objektu/prostoru umístěny po celou dobu provozu kamerového systému. 2. Informační tabulky musí být dobře viditelné, tj. umístěné a navržené tak, aby byly nepřehlédnutelné. 3. Informační tabulky musí obsahovat alespoň piktogram/obrázek kamery, údaj o tom, že prostor je monitorován kamerovým systémem 4. vzhled informační tabulky není předepsán, pouze je z pochopitelných důvodů nezbytné, aby písmo bylo dobře čitelné 5. Piktogram a text musí být viditelný/čitelný i z větší vzdálenosti (cca 2-5 m). 6. Identifikaci správce je třeba uvést v rozsahu, který umožňuje ověřit, zda je zpracování zapsáno ve veřejném registru
Akreditace (Acreditation)
Akreditace (Acreditation) je postup pro potvrzení nezávislosti, objektivity a odborné způsobilosti subjektu pro vykonávání definovaných činností, na jehož základě pověřený orgán (V případě České republiky je pověřeným orgánem pro certifikaci systémů řízení Český institut pro akreditaci, o. p. s.) vydává osvědčení o akreditaci.
Audity druhou stranou
Audity druhou stranou jsou prováděny externími subjekty, které mají vůči dané organizaci nějaké zájmy. Do této kategorie patří především audity, které vyplývají ze smluvních vztahů. Například odběratel může na základě dohody provádět či objednat audit svých dodavatelů.
Audity první stranou
Audity první stranou (spíše známé jako interní audity) jsou audity, které si provádí organizace sama anebo jsou prováděny ve prospěch organizace, která je předmětem auditu. Cílem auditu bývá „sebe ověření" fungování daného řídícího prvku nebo části organizace s ohledem k definovaným požadavkům a výstupy slouží především při přehodnocení funkčnosti systému řízení ze strany vedení organizace.
Audity třetí stranou
Audity třetí stranou jsou prováděny externí organizací, která je zcela nezávislá na auditované organizaci. Výsledky auditů třetí stranou jsou využívány pro udělování certifikací souladu s danou normou (např. soulad řízení bezpečnosti informací s normou ISO/IEC 27001) tzv. certifikační audity (podrobněji v kapitole 7.2.2) nebo slouží jako nezávislé vyjádření pro různé regulační orgány (např. v rámci dohledu nad finančními institucemi apod.). V tomto případě se již jedná o externí audit, nicméně externí organizace není vázaná žádnými pravidly nad rámec smluvního vztahu s auditovanou organizací.
Řízení kontinuity organizace - Soubor postupů
BS 25999-1:2006
Řízení kontinuity organizace - Specifikace
BS 25999-2:2007
Certifikace (Certification)
Certifikace (Certification) je potvrzení shody zavedeného, udržovaného a zlepšovaného systému řízení na základě plnění požadavků referenčních norem a specifikací. Certifikace uvedených systémů (Přesněji certifikace shody (Certification of conformity)) znamená zvýšení celkové důvěryhodnosti dodavatele výrobků nebo poskytovatele služeb.
Corporate Governance
Cílem CG je formulovat a rozvíjet právní a výkonné metody a postupy, které zavazují především veřejně obchodovatelné společnosti udržovat vyvážený vztah mezi organizací a těmi, kteří ji tvoří, tj. akcionáři, statutárními orgány, výkonným managementem, zaměstnanci a zákazníky, případně dalšími zainteresovanými osobami (stakeholders)
Politiky bezpečnosti informací
- definice základních pravidel bezpečnosti informací a vyjádření podpory vedením organizace.
Enterprise Governance
EG je souhrn odpovědností a praktik realizovaných vlastníky a vedením organizací, jejichž cílem je realizace strategického vývoje, dosahování cílů, zajištění přiměřeného řízení rizik a ověřování zodpovědné spotřeby zdrojů organizace
Systém řízení vztahu k okolí - EMS
Environmentální management je řízení lidských aktivit (sociálních, kulturních a ekonomických) a jejich dopadů na okolní prostředí. Pojem okolní prostředí pak zahrnuje všechny složky živé i neživé přírody včetně vazby na živé organismy a vliv na kvalitu jejich života.
Firewall
Firewall — slouží k filtrování provozu mezi sítěmi s různou úrovní důvěryhodnosti a zabezpečení (chrání zařízení ve vnitřní síti před škodlivou příchozí komunikací a může blokovat nechtěnou odchozí komunikaci) — provoz je řízen na základě předdefinovaných politik či dynamických pravidel — např. typicky komunikace z vnitřní sítě vně do Internetu Nevýhody — blokuje provoz pouze na základě definovaných IP adres a portů Př. Pravidla pro Firewall add chain=forward action=accept protocol=tcp ininterface=ether1 dst-port=80
Průběh schvalování mezinárodních norem ISO
Fáze návrhu - NWIP. Fáze přípravy - WD. Fáze zpracování v komisích - CD. Fáze připomínkování - DIS, FDIS. Fáze odsouhlasení - IS. Fáze publikace.
IDS = Intrusion Detection System (PASSIVE)
IDS = Intrusion Detection System (PASSIVE) — chytřejší řešení než Firewall, protože signalizuje pomocí alertu pokud se jedná o neoprávnění průnik do vnitřní sítě — hlavním prvkem je senzor, který obsahuje mechanismy pro detekci škodlivých a nebezpečných kódů — zachytí nežádoucí komunikaci a okamžitě vygeneruje alert, ten může být zaslán přímo do SIEM společně se zapsaným logem
Rozdíl mezi IPS a IDS
IDS je detekční a monitorovací nástroj IDS neprovádí akce, které by blokovaly provoz Výstupy z IDS musí být dále kontrolovány IPS je kontrolní systém IPS přijímá nebo blokuje provoz na základě předem definovaných pravidel IPS vyžaduje pravidelnou aktualizaci databáze známých hrozeb IPS i IDS analyzují síťové pakety a porovnávají jejich obsah oproti databázi známých hrozeb
IPS = Intrusion Prevention System (ACTIVE)
IPS = Intrusion Prevention System (ACTIVE) — funguje jako IDS, ale navíc umí blokovat nežádoucí komunikaci díky rozpoznávání signatur kyb. útoků — reaguje na podezřelé aktivity resetováním spojení nebo nastavením směrovače/firewallu tak, aby blokoval provoz v síti z podezřelého škodlivého zdroje
ITG
ITG je struktura řídících vztahů a procesů umožňujících dosažení cílů organizace realizací přidané hodnoty za současného vyrovnání rizika s návratností investic do informačních technologií
Řízení jakosti
Jakost Jakost je definována jako stupeň splnění požadavků souborem inherentních znaků, tj. soubor trvalých znaků produktu. Inherentní - protiklad přiřazený znamená existující v něčem, zejména jako trvalý znak. Požadavek - potřeba nebo očekávání, které jsou stanoveny, obecně se předpokládají nebo jsou závazné. Obecně předpokládaný - znamená, že se jedná o zvyklost nebo společnou praxi organizace, jejích zákazníků a jiných zainteresovaných stran, že se uvažovaná potřeba nebo očekávaní předpokládají. Pro označení specifického druhu požadavku se může použít rozlišující přívlastek, např. požadavek na výrobek, požadavek na management jakosti, požadavek zákazníka. Specifikovaný požadavek je požadavek, který je stanoven například v dokumentu. Požadavky mohou být vytvářeny různými zainteresovanými stranami. [ISO_91C]
MVČR - atestace
Zákon upravuje způsob správy informačních systémů veřejné správy (ISVS), uvádí řadu zásadních odborných řešení a povinnosti atestačních středisek, což vede k vydání několika prováděcích předpisů:
Zásady pro zpracování osobních údajů
Zákonnost, korektnost a transparentnost Zásada účelového omezení - Osobní údaje lze zpracovávat jen pro přesně vymezené účely, které jsou v souladu s právem. Zásada minimalizace údajů - Minimalizace údajů má za cíl získávat osobní údaje v co nejmenším rozsahu, který však postačuje pro naplnění účelu zpracování Zásada přesnosti - Osobní údaje by měly odpovídat skutečnosti. Pokud tomu tak není, tak je potřeba je uvést do souladu se skutečností nebo je odstranit. Zásada omezení uložení - Osobní údaje by měly být uchovávány co nejkratší dobu. Zásada integrity a důvěrnosti - Osobní údaje by měly být zabezpečeny proti neoprávněnému použití a náležitě zabezpečeny.
Zabezpečit počítačový systém je možné pouze pokud si uvědomíme
co se pokoušíme ochránit (důvěrnost dat, integritu dat, dostupnost služeb, HW prostředky v síti, image - dobré jméno firmy), proti komu (amatéři, vandalové, hráči, špióni, crackeři, hackeři) a za jakou cenu.
Fyzická bezpečnost a bezpečnost prostředí
definice pravidel pro přístup osob do klíčových prostor organizace a ochrana zařízení, zejména zařízení ICT (prostředí).
BCP
je dokument širšího rozsahu. Může formálně obsahovat DRP pro oblast IT a nadto je předpisem pro organizační jednotky mimo IT stanovujícím, jak si mají v případě výpadku informačního systému počínat. Je to jakýsi plán B pro jednotlivá oddělení a jednotlivé role pracovníků.
DRP
je předpisem pro pracovníky IT určujícím, jak mají postupovat v případě poškození dat, některého ze systémů nebo v případě omezení nebo plné nedostupnosti některé služby. Obsahuje souhrn kroků, umožňujících náhradní dodávku služeb IT (např. obnovit důležitou databázi za zálohy nebo přepnout nějakou službu na záložní server).
Zákon č. 499/2004 Sb.,
o archivnictví a spisové službě a o změně některých zákonů. Tento zákon upravuje: a) výběr, evidenci a kategorizaci archiválií, b) ochranu archiválií, c) práva a povinnosti vlastníků archiválií, d) práva a povinnosti držitelů a správců archiválií (dále jen „držitel archiválie"), e) využívání archiválií, f) zpracování osobních údajů pro účely archivnictví, g) soustavu archivů, h) práva a povinnosti zřizovatelů archivů, i) spisovou službu, j) působnost Ministerstva vnitra a dalších správních úřadů na úseku archivnictví a výkonu spisové služby,
Zákon č. 227/2000 Sb
o elektronickém podpisu (poslední úpravy zákon č. 110/2007 Sb.)
Zákon č. 496/2004 Sb
o elektronických podatelnách
Zákon č. 300/2008 Sb.
o elektronických úkonech a autorizované konverzi dokumentů Zákon č. 301/2008 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o elektronických úkonech a autorizované konverzi dokumentů
Zákon č. 365/2000 Sb
o informačních systémech veřejné správy a o změně některých dalších zákonů, (poslední úprava č. 81/2006 Sb.)
Zákon č. 181/2014 Sb
o kybernetické bezpečnosti
Zákon č. 181/2014 Sb.
o kybernetické bezpečnosti
Zákon č. 101/2000 Sb
o ochraně osobních údajů a o změně některých zákonů
Zákon č. 412/2005 Sb.
o ochraně utajovaných informací a o bezpečnostní způsobilosti.
Zákon č. 29/2000 Sb.
o poštovních službách
Zákon č. 106/1999 Sb
o svobodném přístupu k informacím
Zákon č. 22/1997 Sb
o technických požadavcích na výrobky a o změně a doplnění některých zákonů.
Zákon č. 151/2000 Sb.
o telekomunikacích
Zákon České národní rady č. 20/1993 Sb.,
o zabezpečení výkonu státní správy v oblasti technické normalizace, metrologie a státního zkušebnictví.
Zákon č. 111/2009 Sb.,
o základních registrech
Soulad s požadavky
organizace dokladuje naplnění požadavků vyplývajících z právních, smluvních a jiných závazků.
Řízení kontinuity činností organizace
postupy prevence a minimalizace škod plynoucích pro organizaci z havárií, živelných pohrom či jiných mimořádných událostí.
Řízení incidentů bezpečnosti informací
pravidla a postupy určené pro řešení bezpečnostních incidentů včetně shromažďování potřebných důkazů.
Řízení přístupů
pravidla pro přidělování přístupu ke všem prostředkům informačních a komunikačních systémů včetně sledování způsobu využívání dostupných prostředků
Vztahy s dodavateli
pravidla
Akvizice, vývoj a údržba systémů
prosazení principů bezpečnosti informací do projektů rozvoje ICT a dalších podpůrných aktivit.
BS 25777
specifika spojená s řízení kontinuity službami ICT, na kterých je dnes řízení kontinuity činností organizace většinou silně závislé. Snahou je sladění přístupů BCM a řízení kontinuity služeb IT tak, aby byly efektivně a spolehlivě naplněny potřeby podniku.
Řízení aktiv
udržování přehledu o existujících aktivech organizace a stanovení odpovědnosti za udržování přiměřené míry ochrany jednotlivých aktiv.
Organizace bezpečnosti informací
upřesnění struktury pro řízení bezpečnosti informací uvnitř organizace a řízení bezpečnosti ve vztahu k externím subjektům (zákazníkům, dodavatelům atd.).
Bezpečnost lidských zdrojů
vymezení povinností za ochranu informací u všech pracovníků a zajištění potřebného bezpečnostního povědomí.
Kryptografie
xx
Základní principy CG
zajištění souladu s regulatorními požadavky řídících orgánů, které zajišťují efektivní přístupy k vytváření infrastruktury (včetně informačních technologií) korporací, řízení průběhu procesů organizace a jejích funkcí založených na ukazatelích a na uzavřeném plánovacím cyklu PDCA (Plan-Do-Check-Act ), řízení rizika jako kodifikovaného procesu pro identifikaci a hodnocení rizik spojených s dosažením cílů korporací, etické řízení vycházející z etických kódů a zahrnující interní a externí procesy detekce a řešení problémů.
Bezpečnost komunikací
zajištění spolehlivého a bezpečného chodu produkčních informačních a komunikačních systémů organizace.
Bezpečnost provozu
zajištění spolehlivého a bezpečného chodu produkčních informačních a komunikačních systémů organizace.
Co je GDPR?
GDPR neboli General Data Protection Regulation je nové legislativní nařízení Evropské unie, které má vstoupit v platnost 25. května 2018. GDPR přináší nová pravidla pro všechny organizace v komerčním i státním sektoru, včetně neziskových organizací. Týká se všech firem, které nabízejí produkty a služby v Evropské unii nebo shromažďují a analyzují data obyvatel EU.
Úloha NUKIB
Provoz Vládního CERT (Computer Emergency Response Team) České republiky (GovCERT.CZ). Spolupráce s ostatními národními a mezinárodními CERT a CSIRT (Computer Security Incident Response Team) týmy. Příprava bezpečnostních standardů pro informační a komunikační systémy regulované kybernetickým zákonem. Osvětová činnost a podpora vzdělávání v oblasti kybernetické bezpečnosti. Výzkum a vývoj v oblasti kybernetické bezpečnosti. Ochrana utajovaných informací v oblasti informačních komunikačních systémů. Kryptografická ochrana.
Základní registry
ROB Registr obyvatel Ministerstvo vnitra České republiky ROS Registr právnických osob, podnikajících fyzických osob a orgánů veřejné moci Český statistický úřad RUIAN Registr územní identifikace, adres a nemovitostí Český úřad zeměměřický a katastrální RPP Registr agend orgánů veřejné moci a některých práv a povinností Ministerstvo vnitra České republiky
RKB
Rada pro kybernetickou bezpečnost (RKB) je koordinačním a poradním orgánem předsedy vlády pro oblast kybernetické bezpečnosti. Cílem kybernetického zákona bylo vytvořit zákonné postavení státní instituce, která bude odpovědna za zajišťování kybernetické bezpečnosti státu a oprávněna k regulaci klíčových subjektů. A to vzhledem k tomu, že státní moc lze uplatňovat výlučně na základě a v mezích zákona a soukromoprávním subjektům lze ukládat povinnosti jen zákonem. Takový zákon pak měl definovat typy povinných subjektů, které bude regulovat, včetně povinností, kterými se povinné subjekty musí řídit.
Vymezení ISMS
V současné době ISO/IEC 27001, 27002 - literatura. Struktura normy Definice opatření jsou jednověté specifikace bezpečnostních opatření, které jsou shodné s přílohou A normy ISO/IEC 27001:2005. Směrnice pro zavedení obsahuje podrobný popis toho, co je opatřením myšleno a jakým způsobem by opatření mělo být implementováno a prosazováno. Uvedené informace nemusí být platné pro všechny případy nasazení a je přípustné aplikovat i jiné metody řešení. Další informace soustředí specifické údaje, které by měly být při implementaci zvažovány (např. právní důsledky, odkazy na specifické bezpečnostní normy apod.). Hlavním důvodem zavedení této vnitřní struktury je snaha o jednoznačné odlišení definice opatření od doporučení, jakou formou dané opatření zavádět a prosazovat. To velmi usnadňuje použití normy hlavně pro uživatele, jejichž hlavní profesní orientací není bezpečnost informací.
Proč používat SIEM?
Výhody — mohu detekovat podezřelé aktivity běžných uživatelů a administrátorů v reálném čase — mohu identifikovat případné útoky zvenčí — na SIEM mohu napojit další detekční nástroje a SIEM se tak stane centralizovaným místem pro sběr dat o bezp. událostech (např. Vulnerability Scanner, AV, Flow Monitoring, atd.) Nejčastější chyby při používání — zcela náhodné napojování jednotlivých aktiv — přejímání pouze obecných korelačních pravidel pro specifické aplikace — nevyškolený personál — špatná interpretace nálezů — špatně nastavený Incident Management a krizový management
Koncepce řízení informatiky
Na úrovni celopodnikové Corporate Governance Enterprise Governance Procesní přístupy (BPR, BPM) Na úrovni IT ITG - IT Governance (Cobit) ITSM - IT Service Management (ITIL) Na úrovni bezpečnosti ISG - Information Security Governance Řízení bezpečnosti IT služeb (ITIL) Řízení bezpečnosti IT procesů (COBIT)
Co jsou osobní údaje?
Mezi obecné osobní údaje patří: Jméno, pohlaví, věk a datum narození, osobní stav, ale také IP adresu a fotografický záznam, zvukový záznam Organizační údaje, kterými jsou například e-mailová adresa, telefonní číslo či různé identifikační údaje vydané státem Zvláštní kategorií osobních údajů jsou údaje o: Rasovém či etnickém původu, politických názorech, náboženském nebo filozofickém vyznání, členství v odborech, o zdravotním stavu, sexuální orientaci a trestních deliktech či pravomocném odsouzení Do kategorie citlivých údajů patří: Genetické, biometrické údaje a osobní údaje dětí Zpracování citlivých osobních údajů podléhá mnohem přísnějšímu režimu, než je tomu u obecných údajů Naopak z působnosti GDPR jsou vyloučeny: Anonymizované údaje Údaje zemřelých osob Údaje získané v rámci činnosti čistě osobní povahy, které nemají obchodní či institucionální charakter (např. vizitky)
Mezinárodní normalizace - ISO
Mezinárodní organizace pro normalizaci. Členy ISO jsou jednotlivé národní normalizační organizace zastupující normalizaci v dané zemi. Technické práce zabezpečuje 192 technických komisí (TC), 541 subkomisí (SC) a 2188 pracovních skupin (WG). Bezpečnost IS - Joint Technical Committee 1 - Information Technology
Prověřování a testování BCM
Nácvik u stolu Cvičné procházení plánů Simulace Nácvik kritických činností provoznímu použití. Úplný nácvik celého plánu
NBÚ
Národní bezpečnostní úřad zejména: rozhoduje o žádosti fyzické osoby, žádosti podnikatele a žádosti o doklad a o zrušení platnosti osvědčení fyzické osoby, osvědčení podnikatele a dokladu, plní úkoly v oblasti ochrany utajovaných informací v souladu se závazky vyplývajícími z členství České republiky v Evropské unii, Organizaci Severoatlantické smlouvy a z mezinárodních smluv, jimiž je Česká republika vázána, vede ústřední registr a schvaluje zřízení registrů v orgánech státu a u podnikatelů, ve stanovených případech povoluje poskytování utajovaných informací v mezinárodním styku, zajišťuje činnost Národního střediska komunikační bezpečnosti, Národního střediska pro distribuci kryptografického materiálu, Národního střediska pro měření kompromitujícího elektromagnetického vyzařování a Národního střediska pro bezpečnost informačních systémů, které jsou jeho součástí, provádí certifikace technického prostředku, informačního systému, kryptografického prostředku, kryptografického pracoviště a stínicí komory, zajišťuje výzkum, vývoj a výrobu národních kryptografických prostředků, vyvíjí a schvaluje národní šifrové algoritmy a vytváří národní politiku kryptografické ochrany.
DRP - doporučená struktura plánu netechnická část
Obecné zásady pro zacházení s plánem. Výčet situací, kdy je nutné plán aktualizovat. Seznam doporučení. Organizační strukturu, pravomoci, odpovědnosti a kontakty. Rozdělovník, historii verzí.
MVČR - Odbor koncepce a koordinace ISVS
Odbor zajišťuje v kompetencích plynoucích ze zákona č. 365/2000 Sb. zejména následující činnosti: vydávání správních rozhodnutí podle tohoto zákona, tvorbu metodických dokumentů pro výkon odborných činností v oblasti informačních systémů veřejné správy, zpracování návrhů právních předpisů v oblasti informačních systémů veřejné správy, provoz veřejného informačního systému o datových prvcích, a to včetně vyhlašování datových prvků, provoz veřejného informačního systému, který obsahuje informace o dostupnosti a obsahu informačních systémů veřejné správy, vydávání správních rozhodnutí ve věci pověření k provádění atestací a pověření k provádění akreditace, kontrolu plnění povinností orgánů veřejné správy, dozor nad atestačními středisky a akreditující osobou.
BCM dle NIST SP 800-34
Plán kontinuity organizace (Business Continuity Plan - BCP) - Cílem plánu je poskytnout návod organizaci, jak vykonávat svoje procesy po mimořádné události, která naruší jejich standardní výkon. Plán je navrhován ve shodě s ustanoveními Plánu kontinuity činností. Kromě toho musí brát plán v úvahu i fakt, že většina podnikových procesů je v současné době podporována informačními systémy (resp. informačními a komunikačními technologiemi) a proto jeho ustanoven bývají koordinována i s plány nouzového chodu podnikových informačních systémů. Plán kontinuity činností (Continuity of Operations Plan - COOP) - připravuje koncept zajištění náhradního zpracování činností organizace na jiném místě, než byla činnost původně vykonávána. Jedná se kromě jiného o služby ICT. Činnosti, pro něž není potřeba měnit místo jejich výkonu, nebývají obvykle tímto plánem řešeny. Plán krizové komunikace (Crisis Communication Plan) - obsahuje základní pravidla a postupy pro zajištění interní i externí komunikace v případě krizových situací. Plán ochrany kritické infrastruktury (Critical Infrastructure Protection Plan - CIP) - představuje souhrn politik a procedur, které slouží k ochraně a obnově technických prostředků, které byly zničeny incidentem (včetně prostředků ICT). Cílem plánu je minimalizovat rizika a zranitelnosti (efektivní působení hrozeb) těchto prostředků. Plán reakce na kybernetické incidenty (Cyber Incident Response Plan) - definuje postupy, které souvisejí s řešením kybernetických útoků na prostředí informačních systémů a obsahuje postupy pro odhalení útoků, určuje způsoby správné a vhodné reakce a postupy pro sběr důkazů. Plán obnovy po havárii (Disaster Recovery Plan - DRP) - se obyčejně soustředí na obnovení činností organizace po významných katastrofách či rozsáhlých haváriích. Velký význam má DRP pro informační technologie, na jejichž podpoře je obvykle závislý výkon většiny činností organizace. Plán zvládání mimořádných událostí informačního systému (Information System Contingency Plan - ISCP) - obsahuje postupy pro ohodnocení rozsahu škod, které byly v rámci informačního systému způsobeny neočekávanou událostí, a určení správného postupu obnovy chodu systému. Plán evakuace osob (Occupant Emergency Plan - OEP) - je základním nástrojem pro evakuaci osob v případech, kdy jsou ohroženy životy nebo zdraví těchto osob.
Tři základní pilíře BCM a plánu
Plán obnovy funkčnosti musí být ekonomicky přínosný (neinvestujte do něj více než v případě havárie přinese, ale ani tak málo, že v případě havárie nic nepřinese). Ovšem to, co plán v případě havárie skutečně přinese je hádání z věštecké koule. Pokud ovšem nedojde v tomto bodu v organizaci k většinovému konsensu, pak plán ani nedělejte. Podmínka nutná Implementace, údržbě a testování plánu se musí v organizaci někdo věnovat profesionálně. Podmínka nutná Plán obnovy funkčnosti se musí dostat do povědomí pracovníků (bezpečnostní povědomí), do firemní kultury. Sebelépe zpracovaný a otestovaný plán ztroskotá,když v okamžiku, kdy se má naplnit, lidé zpanikaří a místo naplňování plánu propadnou hysterii a skepsi. Podmínka postačující
DRP - doporučená struktura plánu Technická část
Popis aktuálního stavu provozu služeb a jejich zálohování - procesy. Postup obnovy pro každý typ operačního systému Kde je to aplikovatelné, obsahuje plán i postupy pro případ logického poškození dat. Dále jsou zmíněny některé důležité postupy v příslušném zálohovacím systému (např. jak obnovovat z kopie pásky, není-li k dispozici páska originální).
SIEM
Security Information and Event Management nestandardní pokusy o přihlášení (AD, servery, DB, aplikační vrstva, atd.), — činnosti provedené administrátory (např. změna konfigurace, dotazy nad DB, aj.), — manipulace s účty, oprávněními a právy (např. přidělení privilegovaného oprávnění), — neprovedení činností v důsledku nedostatku přístupových práv a oprávnění (např. pokus o neoprávněný zápis do DB), — činností uživatelů, které mohou mít vliv na bezpečnost informačního a komunikačního systému (např. vypnutí AV), — zahájení a ukončení činností technických aktiv (např. kontrolu spouštění automatických jobů, skenů, apod.), — kritických i chybových hlášení technických aktiv (např. alerty z IDS), — přístupy k záznamům o událostech, pokusy o manipulaci se záznamy o událostech a změ
Zákonnost zpracování osobních údajů
Souhlas (specifikovaný, ne obecný, do 16ti let souhlas rodiče) Smlouva (nedávat souhlas do smlouvy) Právní povinnost (ze zákona) Životně důležité zájmy subjektu dat (je v bezvědomí v ohrožení života) Veřejný zájem (policie, úřad) Oprávněný zájem správce (předání dat v rámci skupiny podniků)
Standardy ISVS
Standard ISVS pro náležitosti životního cyklu IS, 005/02.01. Standard ISVS pro náležitosti procesu a metodiky atestace jakosti produktů, 007/01.02. Standard ISVS pro informační systémy v oblasti personální a platové, 013/04.01. . Standard ISVS pro provoz elektronických podatelen ve vztahu k používání zaručeného elektronického podpisu, 016/01.01. Standard ISVS pro popis datových prvků, 003/01.03 Standard ISVS - Katalog jednoduchých datových prvků, Standard ISVS - Katalog složených datových prvků, 010/01.02 Standard ISVS pro národní prostředí,
Měkké metriky - příklad
Strategické řízení ISMS Míra podpory ISMS vedením organizace. Míra podpory zpětné vazby ISMS ke strategickým cílů organizace. Podpora metrik bezpečnosti IS/ICT hlavním cílům organizace. Realizace ISMS Procento realizovné části. Procento projektu ISMS řízených projektovou metodikou. Audit realizovaného projektu a jeho soulad s cíli projektu.
Co má obsahovat souhlas pro provozování kamerového systému
Subjekt údajů musí být při udělení souhlasu informován: • o účelu zpracování osobních údajů, • o rozsahu zpracování osobních údajů, tedy především o umístění jednotlivých kamer s popisem prostoru, který je sledován a uvedením režimu, v jakém jsou kamery provozovány, • o správci osobních údajů, • o období, na které je souhlas se zpracováním udělen, • o tom, kdo (zpracovatel) a jakým způsobem bude osobní údaje zpracovávat, • o tom, komu mohou být osobní údaje zpřístupněny, • o tom, že má právo na přístup k informacím o zpracování svých osobních údajů (podrobně viz § 12 zákona č. 101/2000 sb.), • o právu na opravu osobních údajů, podání vysvětlení a d
Řízení bezpečnosti a ochrany zdraví při práci - OHASMS
Systém řízení bezpečnosti a ochrany zdraví při práci umožňuje organizacím kontinuálně rozpoznávat a řídit bezpečnostní a zdravotní rizika, snižovat tak pravděpodobnost nehod a úrazů a tím zvyšovat produktivitu práce a celkovou výkonnost. Pomáhá také dosahovat souladu s legislativními předpisy. OHSAS 18001 (Occupational Health & Safety Assessment Series)
DRP - doporučená struktura plánu
Technická část Netechnická část
Oznamovací povinnost v případě narušení bezpečnosti údajů
Zpracovatel musí ohlásit únik či ohrožení zabezpečení osobních dat Úřadu pro ochranu osobních údajů nejpozději do 72 hodin od okamžiku, kdy se o incidentu dozvěděl
Obsah zprávy z auditu
Zpráva z auditu by měla obsahovat zejména následující údaje: identifikaci auditované strany, identifikaci vedoucího auditora a jeho tým, cíle auditu, kriteria auditu, rozsah auditu, zvláště identifikaci auditovaných organizačních a funkčních jednotek nebo procesů a časový úsek, ve kterém audit proběhl, data a místa, ve kterých proběhla šetření v místě zákazníka, nálezy auditu a doporučení, závěry auditu. Kromě výše uvedených údajů by měla zpráva z auditu podle potřeby také zahrnovat: plán auditu, seznam lidí, kteří spolupracovali na straně zákazníka s auditory, přehled realizovaných akcí/procesů auditu a případné okolnosti, které vedly ke snížení spolehlivosti závěrů auditu, potvrzení o tom, že bylo dosaženo definovaných cílů auditu, přehled oblastí, které byly zahrnuty v původním plánu a nebyly při auditu provedeny, popis nevyřešených rozdílných názorů mezi auditorským týmem a auditovanou stranou, přehled doporučení ke zlepšení, pokud byly součástí cílů auditu, odsouhlasený plán realizace nápravných doporučení (pokud je výsledkem auditu), prohlášení o zachování mlčenlivost o získaných údajích, seznam příjemců auditorské zprávy a způsob jejího doručení.
Vyhláška č. 316/2014 Sb., vyhláška o kybernetické bezpečnosti
Základem je dobrá praxe spojená s ISO/IEC 27001 Určuje způsob realizace organizačních a technických opatření Rozlišuje primární aktiva (pohled business) a podpůrná aktiva (pohled IT) - 4 úrovně Východiskem posouzení přiměřenosti je hodnocení a zvládání rizik - riziko f(dopad, hrozba, zranitelnost) Rozdělení incidentů a další podrobnosti (formuláře, formy hlášení apod.)
Instituce
Úřad pro ochranu osobních údajů - ÚOOÚ Národní bezpečnostní úřad - NBÚ Ministerstvo vnitra - MV ČR Český normalizační institut - ČNI Úřad pro technickou normalizaci, metrologii a státní zkušebnictví - ÚNMZ
ÚNMZ
Úřad pro technickou normalizaci, metrologii a státní zkušebnictví ÚNMZ je organizační složkou státu v resortu Ministerstva průmyslu a obchodu ČR. Hlavním posláním ÚNMZ je zabezpečovat úkoly vyplývající ze zákonů České republiky upravujících technickou normalizaci, metrologii a státní zkušebnictví a úkoly v oblasti technických předpisů a norem uplatňovaných v rámci členství ČR v Evropské unii. Úřad vykonává působnost státu v následujících oblastech : harmonizace technických předpisů, technické normalizace, metrologie, zkušebnictví.
ČIA
Český institut pro akreditaci je obecně prospěšná společnost a jako Národní akreditační orgán založený vládou České republiky poskytuje své služby v souladu s platnými právními předpisy ve všech oblastech akreditace jak státním, tak privátním subjektům.
Systém řízení kontinuity organizace (BCMS - Business Continuity Management System)
část celkového systému řízení organizace, která ustanovuje, zavádí, provozuje, monitoruje, přezkoumává, udržuje a zlepšuje kontinuitu fungování organizace. [BS_259]
BS 25999
Řízení programu BCM - umožňuje rozvíjet zajištění kontinuity činností podniku jako soustavu dílčích projektů. Porozumění podniku je etapa shromažďování informací o důležitosti dílčích činností a pro jejich význam z pohledu podniku jako celku. Určení strategie BCM - stanoví přístupy ke zvýšení odolnosti podniku a způsoby reakce na krizové události. Vytváření a implementace odezvy BCM je etapa realizace potřebných opatření a jednotlivých dílčích projektů vypracování plánů a scénářů pro krizové události. Prověřování, udržování a přezkoumání BCM - by mělo prověřit reálnost připravených plánů a postupů a vést k jejich postupnému zdokonalování. (Postup zdokonalování je podobně jako u jiné norem z oblasti řízení bezpečnosti probíhá v souladu s konceptem PDCA). Ukotvení BCM v kultuře podniku umožňuje, aby se rozvoj kontinuity stál jednou ze základních hodnot podniku.
ÚOOÚ
řad pro ochranu osobních údajů - ÚOOÚ Ochrana soukromí je zaručena Ústavou České republiky a Listinou základních práv a svobod. Osobní údaje o každé osobě jsou chráněny uvedeným zákonem, který stanovuje pravidla, zásady, práva a povinnosti při nakládání s nimi. Zákonem o ochraně osobních údajů a Listinou základních práv a svobod je zaručeno právo na ochranu občana před neoprávněným zasahováním do jeho soukromého a osobního života neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním osobních údajů. V současné společnosti je vlivem rozvoje informačních technologií toto právo stále více narušováno. ÚOOÚ je nezávislým orgánem, který: provádí dozor nad dodržováním zákonem stanovených povinností při zpracování osobních údajů, vede registr povolených zpracování osobních údajů, přijímá podněty a stížnosti občanů na porušení zákona, poskytuje konzultace v oblasti ochrany osobních údajů.
