Systém Řízení Bezpečnosti Informací Ve Vybraném Subjektu

Systém řízení bezpečnosti informací ve vybraném subjektu Bc. Michaela Zelená Diplomová práce 2019 ABSTRAKT Práce se zaměřuje na systém řízení bezpečnosti informací ve vybraném subjektu. Teoretická část vymezuje základní pojmy a představuje problematiku bezpečnostní politiky a samot- ného řízení bezpečnosti informací. V praktické části je nejprve provedena základní charakteristika subjektu pomocí řízeného rozhovoru. Následně je analyzována úroveň zabezpečení informací v rámci vybraného subjektu a to pomocí auditu bezpečnostních opatření. Pro další poznání je provedena SWOT analýza na které je založen další postup. V návaznosti na zjiš- těné skutečnosti jsou identifikována a klasifikována aktiva a hrozby. Analýza rizik je provedena pomocí nástroje RISKAN a na základě mapy rizik jsou navrhnuta vhodná opatření. Výstupem práce je vyhodnocený audit bezpečnostních opatření a také dokumentace aktiv, hrozeb a rizik, na základě kterých byla navržena opatření vztahující se k zaměstnancům. Navržen byl bezpečnostní manuál obsahující vhodnou heslovou politiku a také pravidla pro práci na pracovišti. Klíčová slova: analýza rizik, audit, bezpečnost informací, heslová politika, systém řízení bezpečnosti informací ABSTRACT This thesis is focused on safety management systém in chosen subject. Theoretical part de- fines basics terms and introduces problematics of safety politics and management of security of information. The practical part realizes elementary subject characteristics while using structured interview. Then the level of security of information is analyzed in chosen subject using Information Security audit. To understand topic more the SWOT analysis was done which was chosen as right strategy for next approach. Following facts that were found, assets and threats were identified and classified. Risk analysis is done using RISKAN tool, appro- priate steps are suggested based on map of risks. The outlet of this thesis is information Security Audit, and documentation of assets, threats, risks, based on these was safety of human resources was suggested. Also the safety manual with proper passwords and essential safe procedures was suggested. Keywords: Audit, Information Security, ISMS, Password Policy, Risk Analysis Ráda bych poděkovala svému vedoucímu práce Ing. Petru Svobodovi za jeho cenný čas při vedení mé diplomové práce. Dále děkuji Ing. Jiřímu Dokulilovi, za jeho odborné rady a ak- tivní pomoc při odborných korekcích textu. Rovněž děkuji vybranému subjektu, za spolu- práci a aktivní přístup. V neposlední řadě významný dík patří také mé rodině a nejbližšímu okolí za podporu v prů- běhu celého studia a při zpracování této práce nevyjímaje. Motto: „Základem kvality je obyčejná poctivost.“ Ing. Jiří Chaloupka/Moravia OBSAH ÚVOD .................................................................................................................................... 8 I TEORETICKÁ ČÁST ...................................................................................................... 9 1 ZÁKLADNÍ POJMY ............................................................................................... 10 2 BEZPEČNOSTNÍ POLITIKA ................................................................................ 12 2.1 ZÁKLADNÍ CHARAKTERISTIKA BEZPEČNOSTNÍ POLITIKY ...................................... 12 2.2 BEZPEČNOSTNÍ POLITIKA V PRÁVNÍCH PŘEDPISECH ............................................. 14 2.3 GDPR .................................................................................................................. 16 3 BEZPEČNOST INFORMACÍ ................................................................................ 18 3.1 ŘÍZENÍ INFORMATIKY V ORGANIZACÍCH ............................................................... 19 3.2 METODIKY ........................................................................................................... 21 3.2.1 COBIT .......................................................................................................... 21 3.2.2 ITIL .............................................................................................................. 22 3.2.3 Vztah ITIL a COBIT .................................................................................... 23 3.3 SYSTÉM ŘÍZENÍ BEZPEČNOSTI INFORMACÍ ............................................................ 24 3.3.1 Ustanovení ISMS ......................................................................................... 26 3.3.2 Zavádění a provoz ISMS .............................................................................. 27 3.3.3 Monitorování a přezkoumání ISMS ............................................................. 28 3.3.4 Údržba a zlepšování ISMS ........................................................................... 28 3.4 TECHNICKÉ NORMY V SOUVISLOSTI S BEZPEČNOSTÍ INFORMACÍ .......................... 29 4 CÍLE A POUŽITÉ METODY ................................................................................ 30 II PRAKTICKÁ ČÁST ...................................................................................................... 32 5 CHARAKTERISTIKA VYBRANÉHO SUBJEKTU ........................................... 33 5.1 VYMEZENÍ PRACOVNÍCH POZIC ............................................................................ 33 5.2 SBĚR, ZPRACOVÁNÍ A UCHOVÁNÍ DAT .................................................................. 33 5.3 ŘÍZENÝ ROZHOVOR ....................................................................................... 34 6 AUDIT BEZPEČNOSTNÍCH OPATŘENÍ ........................................................... 35 6.1 ORGANIZAČNÍ OPATŘENÍ ...................................................................................... 35 6.2 TECHNICKÁ OPATŘENÍ .......................................................................................... 38 7 ANALÝZA VNITŘNÍHO A VNĚJŠÍHO PROSTŘEDÍ ...................................... 40 8 AKTIVA SUBJEKTU .............................................................................................. 45 8.1 IDENTIFIKACE PRIMÁRNÍCH AKTIV ....................................................................... 45 8.1.1 Procesy a činnosti ......................................................................................... 45 8.1.2 Informace ..................................................................................................... 48 8.2 IDENTIFIKACE PODPŮRNÝCH AKTIV ...................................................................... 50 8.2.1 Hardware ...................................................................................................... 50 8.2.2 Software ....................................................................................................... 51 8.2.3 Sítě ................................................................................................................ 52 8.2.4 Pracovníci ..................................................................................................... 53 8.2.5 Lokalita ........................................................................................................ 53 8.2.6 Organizace .................................................................................................... 54 8.2.7 Projektová činnost ........................................................................................ 55 8.2.8 Subdodavatelé – dodavatelé - výrobci ......................................................... 55 8.3 VAZBY MEZI PRIMÁRNÍMI A PODPŮRNÝMI AKTIVY ............................................... 56 8.4 KVANTIFIKACE AKTIV .......................................................................................... 57 9 HROZBY PRO VYBRANÝ SUBJEKT ................................................................. 63 9.1 IDENTIFIKACE HROZEB ......................................................................................... 63 9.2 KVANTIFIKACE HROZEB ....................................................................................... 66 10 ANALÝZA RIZIK VE VYBRANÉM SUBJEKTU .............................................. 68 10.1 VYHODNOCENÍ ZRANITELNOSTÍ ........................................................................... 68 10.2 VYHODNOCENÍ ANALÝZY RIZIK ............................................................................ 70 11 VYBRANÁ OPATŘENÍ PRO SUBJEKT ............................................................. 72 11.1 NÁVRH ORGANIZAČNÍCH OPATŘENÍ ..................................................................... 72 11.2 NÁVRH TECHNICKÝCH OPATŘENÍ ......................................................................... 73 12 BEZPEČNOSTNÍ MANUÁL .................................................................................. 74 12.1 AKTUALIZACE ANALÝZY RIZIK ............................................................................. 74 12.2 HESLOVÁ POLITIKA .............................................................................................. 74 12.3 BEZPEČNÉ CHOVÁNÍ NA PRACOVIŠTI .................................................................... 77 12.4 ZVLÁDÁNÍ BEZPEČNOSTNÍCH INCIDENTŮ ............................................................. 78 13 SHRNUTÍ .................................................................................................................. 80 ZÁVĚR ............................................................................................................................... 81 SEZNAM POUŽITÉ LITERATURY .............................................................................. 82 SEZNAM POUŽITÝCH SYMBOLŮ A

Load more