Organizační bezpečnost

Organizačním opatřením rozumíme ovlivnění procesů a dokumentaci stavu.

Procesy a bezpečnostní dokumentace zahrnují především:

  • Hodnocení aktiv
  • Řízení rizik
  • Bezpečnostní politiky
  • Nastavení kompetencí a odpovědnosti rolí
  • Řízení dodavatelů
  • Řízení lidských zdrojů
  • Řízení dokumentace
  • Identity management
  • Zvládání bezpečnostních incidentů
  • Plán kontinuity
  • Posouzení externích i interních vlivů

Systém řízení bezpečnosti informací – ISMS

1. Bezpečnostní strategie

Bezpečnostní strategií definujeme a dokumentujeme strategické cíle pro předem odsouhlasené období. Vedeme k porozumění bezpečnosti informací všechny klíčové úrovně organizace, včetně nejvyššího managementu.

Plnění jednotlivých strategických cílů popisujeme pomocí plánu úkolů bezpečnostní strategie. Úkoly musí obsahovat jasný popis, termíny splnění a určení odpovědnosti za jeho splnění. Plnění strategických cílů sledujeme, vyhodnocujeme a případně aktualizujeme.

Bezpečnostní strategií pomáháme nejvyššímu managementu sledovat stav řízení bezpečnosti informací ve vazbě hlavní cíle organizace.

Základní orientace

Identifikace a definice přínosu a způsobu řízení bezpečnosti informací v souvislosti s hodnotou majetku.

Podpora hlavních cílů organizace

Ochrana majektu před dopady bezpečnostních incidentů.

Krizové řízení

Příprava na krizové stavy a jejich optimální zvládnutí.

2. Bezpečnostní audit a návrh

Posuzujeme využitelnost všech zdrojů ze stávajícího prostředí (bezpečnostní audit) a podrobně plánujeme, jak bude implementace ISMS probíhat (bezpečnostní návrh).

Stanovujeme si dva základní cíle:

  • Ušetřit zdroje nutné k vybudování odolného prostředí ICT (ekonomický cíl).
  • Zjistit skutečný stav a podle jeho úrovně doporučit další rozvoj (technický cíl).

Audit provádíme vždy podle předem dohodnuté metodiky. Podrobný audit realizujeme před implementací ISMS a opakujeme ho v případě velkých pochybností o kvalitě ISMS.

Audit zasahuje celou řadu složek organizace

  • ICT oddělení
  • Oddělení informační bezpečnosti
  • Oddělení fyzické bezpečnosti
  • Právní oddělení
  • Investiční a nákupní oddělení (procurement)
  • Personální oddělení (HR)
  • Top management, úsekoví řídící pracovníci, garanti aktiv

Výstupem z auditu a návrhu je soubor dokumentů

  • Podrobné výsledky měření auditu pro bezpečnostní role
  • Souhrnné výsledky auditu s vazbou na podrobné výsledky
  • Auditní zpráva – text shrnující výsledky auditu doplněný o část návrhu
  • Prezentace pro technickou skupinu podílející se na auditu a návrhu
  • Prezentace pro top management

3. Implementace ISMS

Pomocí ISMS potlačujeme chaotické jednání při ochraně informačních aktiv a přinášíme systematický postup.

Pro nastavení ISMS používáme jako etalon vždy vhodnou normu (ISO/IEC 27001:2013 nebo zákon č. 181/2014 Sb. nebo speciální normy pro specifické oblasti, např. vojenská oblast).

Implementace ISMS probíhá podle bezpečnostního návrhu.

4. Zajištění povozu ISMS, jeho kontrola, testování a zlepšování

Po implementaci ISMS přezkoumáváme odolnosti prostředí kvůli ověření funkčnosti bezpečnosti. Po přezkoumání a vnitřním auditu nezávislou osobou je možné libovolně přistoupit k certifikaci celého ISMS certifikační autoritou.

Obrazem kvality ISMS jsou bezpečnostní incidenty, zejména úroveň jejich kategorizace. Při implementaci procesů a technologií ISMS budujeme prostředí schopné si s bezpečnostními incidenty poradit bez následků, nebo jejich dopad minimalizovat. Kvalita ISMS zvyšuje počet detekovaných bezpečnostních incidentů a snižuje dopad škod, které z nich plynou (schopnost reakce).

4 hlavní pilíře zvládání bezpečnostních incidentů

1. Prevence – zajištění kvalitních informačních zdrojů pro preventivní zásahy do ISMS vedoucí k eliminaci zranitelností a minimalizaci hrozeb spojených s bezpečnostními incidenty.

  • SOC
  • TNS
  • Security news
  • Infrastructure news
  • Threat Visibility
  • Threat Scan
  • Security Scan
  • SWAT
  • Penetrační testy
  • Simulovaný DoS útok


2. Reakce – zajištění korektního řízení reaktivních činností a implementace technických opatření vedoucích ke zvládnutí vzniklých bezpečnostních incidentů a minimalizaci s nimi spojených škod.

  • Incident response


3. Prošetření incidentu – prošetření bezpečnostního incidentu po odstranění škod vzniklých jeho působením a návrh nápravných opatření pro zamezení jeho opakování.


4. Ověřování odolnosti ISMS – testy zranitelností, penetrační testy, vzdělávání a cyber combat cvičení IT administrátorů, vlastníků privilegovaných účtů, operátorů dohledových pracovišť SOC a členů týmů CSIRT.

  • Cyber Combat Excersises
  • Phishing Test

Kompetence a odpovědnost

Člověk je rozhodující prvek odolnosti ISMS.

Každá role musí znát možné důsledky svého chování.

Znalost důsledků nebezpečného chování umíme předat ve všech úrovní organizace:

  • Rozšiřujeme a ověřujeme vědomosti bezpečnostních rolí odpovědných za řízení ISMS.
  • Trénujeme bezpečnostní povědomí privilegovaných rolí a ICT administrátorů.
  • Řídíme bezpečnostní povědomí uživatelů.

V našem ALEF Training centru nabízíme celou řadu přístupů ke zvyšování odbornosti lidí. Otevřeli jsme jak samostatné kurzy, tak i celé tracky navazujících kurzů. Podle vstupní úrovně znalostí je možné začít uprostřed tracku.