- Stahuj zápisky z přednášek a ostatní studijní materiály
- Zapisuj si jen kvalitní vyučující (obsáhlá databáze referencí)
- Nastav si své předměty a buď stále v obraze
- Zapoj se svojí aktivitou do soutěže o ceny
- Založ si svůj profil, aby tě tví spolužáci mohli najít
- Najdi své přátele podle místa kde bydlíš nebo školy kterou studuješ
- Diskutuj ve skupinách o tématech, které tě zajímají
Studijní materiály
Hromadně přidat materiály
Vypisky_2006
PV017 - Bezpečnost informačních technologií
Hodnocení materiálu:
Zjednodušená ukázka:
Stáhnout celý tento materiálAmerican National Standards Institute, ANSI
Proces normalizace ISO
Odpovednost za tvorbu norem v dılcıch oblastech majı technicke vybory, Technical Committees, TC si urcuje svuj program v ramci vymezenem jeho rodicovskou organizacı (ISO) sam tak, aby zadany ukol vyresil. TC delı svoji pusobnost na podvybory, SubCommittees, SC delı svoji pusobnost na pracovnı skupiny, Working Groups, WG.
Zivotnı cyklus ISO standardu
Navrh nove pracovnı polozky,NWI (New Work Item) serie navrhu standardu na urovni pracovnı skupiny,WD (Working Drafts) navrh normy na urovni podvyboru (SC), CD (Committee Draft ) navrh mezinarodnı normy, konecny navrh mezinarodnıho standardu, FDIS (Final DIS )
system zprav o vadach ve standardech (Defect Report System)
ISO TR (Technical Reports)
TR 1:
navzdory opetovne snaze nenı mozne
prosadit material k vydanı jako radny standard
TR 2:
predmet zajmu normy je stale ve stadiu rozvoje nebo
existuje jiny duvod, pro ktery nenı mozne schvalit
mezinarodnı standard okamzite,v budoucnu to vsak zrejme mozne bude
TR 3:
Technicky vybor shromazdil ruzne podklady, ze kterych je normalne publikova na mezina rodnı standard
ISO/IEC 9979, 1999 Procedures for registration of cryptographic algorithms
ISO/IEC 17779 Code of practice for information security management
ISO/IEC 27001 Information security management system – Requirements
ISO/IEC 27004 Information security management metrics and
Measurement
ISO/IEC 13335 Management of information and communications
technology security
ISO/IEC TR 15945 Specification of TTP services to support the application of
digital signatures
ISO/IEC TR 18043 System deployment a operations of intrusion detection
systems – IDS
ISO/IEC TR 18044 Information security incident management
ISO/IEC 15408 Evaluation criteria for IT security
Politikou (v oblasti prava) se rozumı standard, ktery vytycuje cıl, jehoz se ma dosahnout,
zpravidla zlepsenı urcite kvality . . .
Pravnı princip je standard, ktery se ma dodrzovat protoze pozaduje spravedlnost,
slusnost nebo nejakea jinea dimenze moralky.
IV. Bezpecnostnı system podle ISO/IEC 2700x
ISO/IEC 17779, puvodne britsky standard BS 7779, Code of practice for information security management - doporucenı jak navrhnout, implementovat, udrzovat a vylepsovat spravu informacnı bezpecnosti v organizaci
ISO/IEC 27001
puvodne britsky standard BS 7779-2 Information security management system – Requirements - pozadavky na implementaci ISMS – Information security management system
system spravy informacnı bezpecnosti podle ISO/IEC 17779, specicikuje jak vybudovat system, ktery posuzuje, implementuje,monitoruje a udrzuje bezpecnostnı system organizace
my jsme organizace kvalitne pecujıcı o informacnı bezpečnost
Hlavnı koncepty:
a) system pro spravu informacnı bezpecnosti
bezpecnost muze byt spravovana pouze v prostoru uvnitr ohranicene oblasti
ISMC ohranicuje oblast aplikovani standardu, odhaduje rizika, spravu rizik, volbu opatreni, bezpecnostni cile a dokumentaci. Nasledne se ISMC implementuje.
Model Plan-Do-Check-Act, PDCA – cyklicky proces: Plan (zavedenı ISMS) _→Do (implementace ISMS) _→Check (sledovani ISMS) _→Act (vylepsenı ISMS) _→Plan . . .
b) opatrenı (sluzby) a mechanismy BP
opatrenı – pozadovana ochrana, relevantnı jiste hrozbe
mechanismus – metoda zajistenı ochrany
c) bezpecnostnı politika
Genericka struktura politiky informacnı bezpecnosti
1. Organizacnı zajistenı informacnı bezpecnosti
2. Klasifikace informacı a dat – stanoveni standartu klasifikace, definice inf a dat
3. Rızenı prıstupu k informacım a systemum v oblasti – sprava, standardy pristupu, ucty
4. Zpracovanı informacı a dokumentu
a) site – konfigurace, sprava, zabezpeceni, ochrana
b) provoz systemu – administrace, prava, dokumentace
c) zalohovani a obnova – restart, sprava, casovani, plan obnovy
d) e-mail a www – komunikace, práce s emaily a www, filtrovani dat
e) telefony a faxy – videokonference, spam
f) práce s dokumenty – tisk, kontrola korektnosti, evidence, likvidace
g) zabezpeceni dat – dostupnost, duvernost, integrita
h) sprava dat – vytvareni, oprava, smazani, ukladani, sdileni
ch) ostatnı manipulace – sporice, kopirovani …
5. Nakup a udrzovanı komercnıho software – nakup, instalace, udrzba, likvidace
6. Zabezpecovanı hardware, periferiı a pod. - nakup, instalace, kabely, tiskarny,
spotrebni material, telecommute, mechanicke zabezp., dokumentace, udrzba
7. Ochrana pred kyber-kriminalitou – proti vsem typum utocniku a reakce, antivir
8. Informacnı bezpecnost e-byznysu – struktorovani, zabezpeceni, konfigurace
9. Vyvoj a udrzba vlastniho software – proces programovani, vyvoj SW, betatesting, doc.
10. Arealova bezpecnost – priprava arealu, sklady dat, elektronika, zaloha
11. Resenı personalnıch problemu souvisejıcıch s bezpecnostı – smluvni dokumentace,
ochrana dat, zamestnanec v BP, ukonceni prac. pomeru
12. Vychova a zvysovanı bezpecnostnıho uvedomenı zamestnancu
13. Vyhovenı pozadavkum prava a omezenım stanovenych politikami
14. Detekce bezpecnostnıch incidentu a reakce na jejich vyskyt – informovanost o
incidentech, studie utoku
15. Plany zachovanı kontinuity byznysu
V. Kriteria hodnocenı bezpecnosti IT
Hodnotıcı kriteria = seznam podmınek, ktere produkt nebo system ma byt schopny
naplnit
metodologie – zpusob testovani vyhovenı kriteriım
Kdo standard hodnotıcıch kriteriı vyuzıva
Zakaznik – pri volbe mezi produkty
Vyvojar – jako vodıtko při vyvoji bezpecneho produktu
Hodnotıcı centra – prokazatelnost uzıvanı spravnych kriteriı pro hodnocenı a uzıvanı spravne metodologie je predpoklad pro udelenı prısl. akreditace relevantnı autoritou
Pro vyslovenı zaruky musıme poznat, ze zavedena bezpecnostnı opatrenı:
majı spravnou funkcnost a jsou efektivnı
Metody hodnocenı mohou byt:
produktove orientovane, investigativni hodnocenı
– testuje se produkt
– obtızne opakovatelne hodnocenı
procesne orientovane, audit
– hodnotı se dokumentace a proces vyvoje produktu
– levnejsı, snadne ji opakovatelne hodnocenı,
pro koncoveho uzivatele prıpadne mene uzitecne – uprednostnovana format
Trusted Copmuter Security Evaluation Criteria (TCSEC)
D – PH nesplnil pozadavky zadne vyssı trıdy
C – Discretionary protection, volitelna ochrana
Jsou k dispozici na stroje pro rızenı prı´stupu a pro audit, ktere cinı uzivatele odpovedne za jejich akce
C1 – na skupinove urovni
C2 – na individua lnı urovni, nejbeznejsı
Vloženo: 24.04.2009
Velikost: 102,00 kB
Komentáře
Tento materiál neobsahuje žádné komentáře.
Copyright 2025 unium.cz
