Date post: | 10-Mar-2016 |
Category: |
Documents |
Upload: | petr-sonnenschein |
View: | 225 times |
Download: | 1 times |
Případová studie Případová studie Zavedení ISMS dle standardu Mastercard
Případová studie
Zavedení ISMS dle standardu Mastercard
Výchozí stav
Organizace patří k významným dodavatelům IT technologií v oblasti systémů založených
na využití čipových karet v České a Slovenské republice
Hlavními produkty organizace jsou řešení v oblasti bezpečných transakčních systémů a
souvisejících produktů jako je bezpečná komunikace a autentizace splňující
bezpečnostní standardy.
Řešení jsou využívána v bankovním sektoru, u velkých obchodních řetězců, v
soukromých firmách či ve státní správě.
Základem dodávaných řešení je vlastní vývoj aplikačního SW v
karet.
Stav řízení informační bezpečnosti nebyl do té doby řešen procesně a systémově. Byla
nastavena určitá bezpečnostní pravidla, ale systémový přístup nebyl průkazný.
Tento stav generoval následující problematické oblasti:
1. Pracné a nejednotné řízení informační bezpečnosti s
v jednotlivých útvarech
2. Izolovaná řešení v jednotlivých útvarech bez možnosti celofiremního pohledu na
problematiku informační bezpečnosti
3. Malá informovanost o bezpečnostních incidentech v
4. Komplikované získávání podkladů o stavu informační bezpečnosti
5. Absence systému delegování odpovědností za jednotlivé oblasti bezpečnosti,
neexistence role manažera pro informační be
Případová studie
ISMS dle standardu Mastercard
Obsah
Zavedení ISMS dle standardu Mastercard
Výchozí stav
Obchodní cíle
Řešení
Přínosy řešení
významným dodavatelům IT technologií v oblasti systémů založených
České a Slovenské republice.
Hlavními produkty organizace jsou řešení v oblasti bezpečných transakčních systémů a
je bezpečná komunikace a autentizace splňující nejvyšší
Řešení jsou využívána v bankovním sektoru, u velkých obchodních řetězců, v
Základem dodávaných řešení je vlastní vývoj aplikačního SW vybavení a personalizace
Stav řízení informační bezpečnosti nebyl do té doby řešen procesně a systémově. Byla
nastavena určitá bezpečnostní pravidla, ale systémový přístup nebyl průkazný.
Tento stav generoval následující problematické oblasti:
a nejednotné řízení informační bezpečnosti s různými nároky
Izolovaná řešení v jednotlivých útvarech bez možnosti celofiremního pohledu na
Malá informovanost o bezpečnostních incidentech v jednotlivých útvarech
Komplikované získávání podkladů o stavu informační bezpečnosti
Absence systému delegování odpovědností za jednotlivé oblasti bezpečnosti,
neexistence role manažera pro informační bezpečnost
Organizace patří
k významným
dodavatelům IT
technologií v oblasti
systémů založených
na využití čipových karet
v České a Slovenské
republice.
1
Zavedení ISMS dle standardu Mastercard
Výchozí stav 1
Obchodní cíle 2
3
Přínosy řešení 4
Verze 1.0
Organizace patří
významným
dodavatelům IT
technologií v oblasti
systémů založených
na využití čipových karet
České a Slovenské
republice.
Obchodní cíle
Řešení
Vzhledem k tomu, že jeden významný zákazník společnosti, bankovní dům, požadoval personalizaci bankovních, platebních
karet, stal se tento požadavek iniciátorem naplnění strategického cíl
bezpečnosti (ISMS) v souladu se standardy ISO/IEC 27001 a Mastercard pro logickou a fyzickou bezpečnost.
Implementace ISMS dle požadavků Mastercard není běžným projektem, jak je tomu u implementac
Od implementace ISMS dle ISO/IEC 27001 a požadavků Mastercard Organizace očekávala následující zlepšení:
1. Proniknutí na nové trhy a rozšíření portfolia „sofistikovaných řešení“
2. Integrace a sjednocení současných bezpečnostních postu
3. Definování centrální politiky ISMS
4. Nastavení pravidel a postupů dle požadavků Mastercard
5. Zavedení systémového přístupu k
6. Zlepšení logické a fyzické bezpečnosti p
Implementace a následná certifikace ISMS dle požadavků Mastercard
běžná implementace ISMS dle ISO/IEC 27001. Z
implementací téměř stejný. Dá se říci, že implementace požadavků Mastercard je přísnější a mnohem
v oblasti aplikace jednotlivých bezpečnostních opatření, která jsou uvedena v
k tomu, že v mnohých případech si nelze vybrat pro realizaci bezpečnostních opatření variantu přenesení rizika na jinou
stranu nebo variantu administrativního řešení, je implementace požadavků Mastercard i finančně náročnější nejen
z pohledu implementace většinou technologických opatření, ale i z
zdrojů a definování různých bezpečnost
Práce řešitelského týmu, který byl složen z
expertů na technologickou bezpečnost a bezpečnostní testování, byly řízeny jako projekt dle metodiky PRI
s pomocí podpůrné aplikace MS Project.
Detailní harmonogram projektu byl sestaven na základě výstupů po provedené úvodní analýze ISMS.
Řešení implementace ISMS
vycházelo z požadavku
klienta na dosažení shody
s požadavky normy
ISO/IEC 27001 a
standardů Mastercard pro
logickou bezpečnost a
dosažení certifikace
Mastercard tak, aby bylo
možno v 10/2012 zahájit
výrobu bankovních karet.
tomu, že jeden významný zákazník společnosti, bankovní dům, požadoval personalizaci bankovních, platebních
karet, stal se tento požadavek iniciátorem naplnění strategického cíle společnosti, a to implementace systému řízení informační
souladu se standardy ISO/IEC 27001 a Mastercard pro logickou a fyzickou bezpečnost.
Implementace ISMS dle požadavků Mastercard není běžným projektem, jak je tomu u implementací ISMS dle ISO/IEC 27001.
Od implementace ISMS dle ISO/IEC 27001 a požadavků Mastercard Organizace očekávala následující zlepšení:
Proniknutí na nové trhy a rozšíření portfolia „sofistikovaných řešení“
Integrace a sjednocení současných bezpečnostních postupů a politik do jednoho systému řízení
Definování centrální politiky ISMS
Nastavení pravidel a postupů dle požadavků Mastercard
managementu rizik založenému na dokumentovaném postupu
Zlepšení logické a fyzické bezpečnosti personalizace
ntace a následná certifikace ISMS dle požadavků Mastercard je, v mnoha ohledech, mnohem náročnější, než
běžná implementace ISMS dle ISO/IEC 27001. Z pohledu implementace procesního a systémového řízení je postup obou
implementací téměř stejný. Dá se říci, že implementace požadavků Mastercard je přísnější a mnohem
oblasti aplikace jednotlivých bezpečnostních opatření, která jsou uvedena v příloze A normy ISO/IEC 27001. Vzhledem
mnohých případech si nelze vybrat pro realizaci bezpečnostních opatření variantu přenesení rizika na jinou
nebo variantu administrativního řešení, je implementace požadavků Mastercard i finančně náročnější nejen
pohledu implementace většinou technologických opatření, ale i z pohledu větších požadavků na potřebu lidských
zdrojů a definování různých bezpečnostních rolí a jejich zastupitelnosti.
Práce řešitelského týmu, který byl složen z konzultantů na procesní řízení ISMS, specialisty na management rizik a
expertů na technologickou bezpečnost a bezpečnostní testování, byly řízeny jako projekt dle metodiky PRI
pomocí podpůrné aplikace MS Project.
Detailní harmonogram projektu byl sestaven na základě výstupů po provedené úvodní analýze ISMS.
Řešení implementace ISMS
standardů Mastercard pro
2
tomu, že jeden významný zákazník společnosti, bankovní dům, požadoval personalizaci bankovních, platebních
e společnosti, a to implementace systému řízení informační
souladu se standardy ISO/IEC 27001 a Mastercard pro logickou a fyzickou bezpečnost.
í ISMS dle ISO/IEC 27001.
Od implementace ISMS dle ISO/IEC 27001 a požadavků Mastercard Organizace očekávala následující zlepšení:
pů a politik do jednoho systému řízení
managementu rizik založenému na dokumentovaném postupu
mnoha ohledech, mnohem náročnější, než
pohledu implementace procesního a systémového řízení je postup obou
implementací téměř stejný. Dá se říci, že implementace požadavků Mastercard je přísnější a mnohem závaznější
příloze A normy ISO/IEC 27001. Vzhledem
mnohých případech si nelze vybrat pro realizaci bezpečnostních opatření variantu přenesení rizika na jinou
nebo variantu administrativního řešení, je implementace požadavků Mastercard i finančně náročnější nejen
pohledu větších požadavků na potřebu lidských
konzultantů na procesní řízení ISMS, specialisty na management rizik a
expertů na technologickou bezpečnost a bezpečnostní testování, byly řízeny jako projekt dle metodiky PRINCE2 a
Detailní harmonogram projektu byl sestaven na základě výstupů po provedené úvodní analýze ISMS.
Implementace byla rozdělena do devíti
1. Fáze č. 1 – Provedení úvodní analýzy ISMS
informační bezpečnosti a stanovení míry plnění požadavků ISO/IEC 27001 a Mastercard. Součástí této fáze bylo i
vypracování detailního harmonogramu jednotlivých činností, včetně nároků na lidské zdroje.
2. Fáze č. 2 – Stanovení rozsahu a struktury ISMS
strukturu ISMS, co se bude chránit a na které oblasti organizace se bude ISMS vztahovat. Základním podkladem
pro stanovení rozsahu a struktury ISMS byla
rozsahu a struktury ISMS byl seznam informačních aktiv, které jsou důležité z
V této fázi konzultanti Versa Systems společně s
systému informační bezpečnosti.
3. Fáze č. 3 – Stanovení bezpečnostní politiky
pokrývala rozsah a hranice ISMS, přičemž se zároveň vycházelo z
nezbytným podkladem pro definování základních principů v bezpečnostní politice
4. Fáze č. 4 – Zavedení systematického řízení rizik
hodnocení a řízení rizik na základě vybraných hrozeb a zranitelností pro aktiva v
bylo také stanovení postupu pro definování akceptovatelné/neakceptovatelné úrovně riz
nutné identifikovat a ohodnotit aktiva organizace, včetně přiřazení jejich vlastníků. Dále k
identifikovaly hrozby a zranitelnosti aktiv. Následně bylo třeba stanovit pravděpodobnosti výskytu jednotlivých
hrozeb. Nakonec se pro každé aktivum vypočetlo riziko jako součin pravděpodobnosti a dopadu. Analýza rizik
byla prováděna formou brainstormingu za účasti jednotlivých vlastníků aktiv, konzultantů Versa Systems a
zkušeného moderátora, přičemž se použila metoda „WHAT
postup implementace, především pro výběr variant řízení rizik a vhodných bezpečnostních opatření pro jejich
eliminaci.
5. Fáze č. 5 – Návrh a výběr variant pro řízení rizik a návrh jednotlivých bezpečnostních
neakceptovatelných rizik. Na základě výsledků analýzy rizik a politiky ISMS vypracovali konzultanti Versa Systems
návrh variant pro eliminaci rizik a návrh opatření pro řízení rizik. Výstupem z
zpráva s popisem neakceptovatelných rizik a návrhem variant a opatření pro jejich eliminaci. Tato zpráva byla
prezentována vedení organizace. Zástupci vedení spolu s
jednotlivá neakceptovatelná rizika nejvhodnější
z následujících priorit:
• vědomé přijetí rizik, je
rizika)
• vyhnutí se rizikům
• přenesení nebo rozložení míry riz
• splnění požadavků platných zákonů, požadavků Mastercard, aplikovaných norem a dalších předpisů
• plánovaný rozvoj aktivit organizace a jejího ISMS
• uplatnění „best practices“
6. Fáze č. 6 - Implementace a provoz ISMS.
nejsložitější a nejdelší fázi realizace projektu. Na začátku této fáze bylo nutno k
snižování rizik vytvořit plány implementace těchto opatření, tzv.
Treatment Plans). Takto sestavené plány bylo nutno realizovat v
provozu. Vedle toho vznikaly a byly uváděny do praxe jednotlivé dokumentované procesy, provozní řády,
bezpečnostní a testovací postupy, směrnice a politiky tak, jak to předepisují požadavky Mastercard. Konzultanti
Versa Systems vytvořili drafty bezpečnostní dokumentace, šablony a formuláře pro jednotlivé dokumenty a
záznamy, které pokrývaly celý životní cyklus
devíti fází:
Provedení úvodní analýzy ISMS, tj. hledání silných a slabých stránek (SWOT) ve stávajícím systému
informační bezpečnosti a stanovení míry plnění požadavků ISO/IEC 27001 a Mastercard. Součástí této fáze bylo i
vypracování detailního harmonogramu jednotlivých činností, včetně nároků na lidské zdroje.
Stanovení rozsahu a struktury ISMS. Hned na začátku implementace je nutné stanovit rozsah a
strukturu ISMS, co se bude chránit a na které oblasti organizace se bude ISMS vztahovat. Základním podkladem
pro stanovení rozsahu a struktury ISMS byla úvodní analýza (situační audit) ISMS. Dalším zdrojem pro stanovení
rozsahu a struktury ISMS byl seznam informačních aktiv, které jsou důležité z hlediska informační bezpečnosti.
této fázi konzultanti Versa Systems společně s pracovníky Organizace vymezili před
systému informační bezpečnosti.
Stanovení bezpečnostní politiky (Politika ISMS). V této fázi byla stanovena politika ISMS tak, aby
pokrývala rozsah a hranice ISMS, přičemž se zároveň vycházelo z výsledků úvodní analýzy, která
nezbytným podkladem pro definování základních principů v bezpečnostní politice.
Zavedení systematického řízení rizik (management rizik), tj. zpracování metodiky pro analýzu,
hodnocení a řízení rizik na základě vybraných hrozeb a zranitelností pro aktiva v rozsahu ISMS. Součástí metodiky
bylo také stanovení postupu pro definování akceptovatelné/neakceptovatelné úrovně riz
nutné identifikovat a ohodnotit aktiva organizace, včetně přiřazení jejich vlastníků. Dále k
identifikovaly hrozby a zranitelnosti aktiv. Následně bylo třeba stanovit pravděpodobnosti výskytu jednotlivých
nec se pro každé aktivum vypočetlo riziko jako součin pravděpodobnosti a dopadu. Analýza rizik
byla prováděna formou brainstormingu za účasti jednotlivých vlastníků aktiv, konzultantů Versa Systems a
zkušeného moderátora, přičemž se použila metoda „WHAT – IF“. Výsledky analýzy rizik byly klíčové pro další
postup implementace, především pro výběr variant řízení rizik a vhodných bezpečnostních opatření pro jejich
Návrh a výběr variant pro řízení rizik a návrh jednotlivých bezpečnostních
Na základě výsledků analýzy rizik a politiky ISMS vypracovali konzultanti Versa Systems
návrh variant pro eliminaci rizik a návrh opatření pro řízení rizik. Výstupem z této a předchozí fáze byla podrobná
popisem neakceptovatelných rizik a návrhem variant a opatření pro jejich eliminaci. Tato zpráva byla
prezentována vedení organizace. Zástupci vedení spolu s pracovníky bezpečnostního výboru vybrali pro
jednotlivá neakceptovatelná rizika nejvhodnější řešení. Při výběru bezpečnostních opatření vycházeli především
vědomé přijetí rizik, je-li to v souladu s bezpečnostní politikou a systémem řízení rizik (akceptovatelná
přenesení nebo rozložení míry rizika na další strany (například dodavatele, pojišťovny)
splnění požadavků platných zákonů, požadavků Mastercard, aplikovaných norem a dalších předpisů
plánovaný rozvoj aktivit organizace a jejího ISMS
uplatnění „best practices“
provoz ISMS. Implementace bezpečnostních opatření a jejich testování. Jednalo se o
nejsložitější a nejdelší fázi realizace projektu. Na začátku této fáze bylo nutno k vybraným opatřením pro
snižování rizik vytvořit plány implementace těchto opatření, tzv. Programy pro zvládání rizik
Treatment Plans). Takto sestavené plány bylo nutno realizovat v praxi a postupně jednotlivá opatření uvést do
provozu. Vedle toho vznikaly a byly uváděny do praxe jednotlivé dokumentované procesy, provozní řády,
ečnostní a testovací postupy, směrnice a politiky tak, jak to předepisují požadavky Mastercard. Konzultanti
Versa Systems vytvořili drafty bezpečnostní dokumentace, šablony a formuláře pro jednotlivé dokumenty a
, které pokrývaly celý životní cyklus systému logické a fyzické bezpečnosti dle požadavků Mastercard.
3
slabých stránek (SWOT) ve stávajícím systému
informační bezpečnosti a stanovení míry plnění požadavků ISO/IEC 27001 a Mastercard. Součástí této fáze bylo i
vypracování detailního harmonogramu jednotlivých činností, včetně nároků na lidské zdroje.
Hned na začátku implementace je nutné stanovit rozsah a
strukturu ISMS, co se bude chránit a na které oblasti organizace se bude ISMS vztahovat. Základním podkladem
(situační audit) ISMS. Dalším zdrojem pro stanovení
hlediska informační bezpečnosti.
pracovníky Organizace vymezili předmět (rozsah) a hranice
této fázi byla stanovena politika ISMS tak, aby
výsledků úvodní analýzy, která je prakticky
(management rizik), tj. zpracování metodiky pro analýzu,
rozsahu ISMS. Součástí metodiky
bylo také stanovení postupu pro definování akceptovatelné/neakceptovatelné úrovně rizika. V této fázi bylo
nutné identifikovat a ohodnotit aktiva organizace, včetně přiřazení jejich vlastníků. Dále k daným aktivům se
identifikovaly hrozby a zranitelnosti aktiv. Následně bylo třeba stanovit pravděpodobnosti výskytu jednotlivých
nec se pro každé aktivum vypočetlo riziko jako součin pravděpodobnosti a dopadu. Analýza rizik
byla prováděna formou brainstormingu za účasti jednotlivých vlastníků aktiv, konzultantů Versa Systems a
IF“. Výsledky analýzy rizik byly klíčové pro další
postup implementace, především pro výběr variant řízení rizik a vhodných bezpečnostních opatření pro jejich
Návrh a výběr variant pro řízení rizik a návrh jednotlivých bezpečnostních opatření pro eliminaci
Na základě výsledků analýzy rizik a politiky ISMS vypracovali konzultanti Versa Systems
této a předchozí fáze byla podrobná
popisem neakceptovatelných rizik a návrhem variant a opatření pro jejich eliminaci. Tato zpráva byla
pracovníky bezpečnostního výboru vybrali pro
řešení. Při výběru bezpečnostních opatření vycházeli především
bezpečnostní politikou a systémem řízení rizik (akceptovatelná
ika na další strany (například dodavatele, pojišťovny)
splnění požadavků platných zákonů, požadavků Mastercard, aplikovaných norem a dalších předpisů
Implementace bezpečnostních opatření a jejich testování. Jednalo se o
vybraným opatřením pro
Programy pro zvládání rizik (RTP = Risk
praxi a postupně jednotlivá opatření uvést do
provozu. Vedle toho vznikaly a byly uváděny do praxe jednotlivé dokumentované procesy, provozní řády,
ečnostní a testovací postupy, směrnice a politiky tak, jak to předepisují požadavky Mastercard. Konzultanti
Versa Systems vytvořili drafty bezpečnostní dokumentace, šablony a formuláře pro jednotlivé dokumenty a
systému logické a fyzické bezpečnosti dle požadavků Mastercard.
7. Stěžejní dokumentace – Příručka pro logickou bezpečnost, příručka pro fyzickou bezpečnost, provozní řády pro
transakční systém, pro systém personalizace a pro systém KSM (systém generování š
dokumenty byly vytvářeny dvojjazyčně pro potřeby zahraničních auditorů. Protože se jedná o poměrně složitou
problematiku, byly tyto dokumenty přeloženy do angličtiny experty Versa Systems. Součástí vytvářené
dokumentace byly i postupy pro
incidentů. Samostatnou kapitolou byl návrh a tvorba dokumentace, včetně pracovních postupů pro bezpečnostní
testování, včetně postupů pro testování zranitelností a penetračních te
V této fázi bylo nutné zejména:
• alokovat zdroje lidské a finanční pro plnění jednotlivých programů řízení rizik, provoz a implementaci ISMS
• připravit programy vzdělávání
• implementovat zvolená opatře
• implementovat postupy a procesy včetně nezbytných kontrol pro denní monitorování a kontrolu informační
bezpečnosti
• implementovat systém pro rychlou detekci a reakci na bezpečnostní incidenty a zvyšování účinnosti I
• implementovat plány obnovy funkčnosti jednotlivých systémů (Disaster Recovery Plans)
8. Fáze č. 7 – Monitorování a přezkoumávání ISMS
nejdříve nezbytné kontroly a testování jednotlivých oblastí ISMS tak, aby bylo sebráno co největší množství dat a
informací z provozu. Tato data se potom zpracovávala a ve formě reportů byla připravena k
Mastercard. Základní činnosti monitorování a měření, které bylo nutné v
• pravidelné ověřování ISMS z
s ohledem na výsledky bezpečnostních auditů, inc
• pravidelné hodnocení efektivity implementovaných opatření pro snižování rizik s
v organizaci, technologií, podnikatelských cílech a procesech, identifikovatelných změnách vnějšího prostředí
atd.
• realizovat interní systémový audit
úrovně zavedení ISMS
• provést přezkoumávání ISMS vedením
• zaznamenávat všechny činnosti a incidenty, které by mohly mít vliv na efektivitu nebo výkon ISMS
• provádět testování fyzického i logického perimetru pomocí celé řady testů, především testů zranitelnosti a
penetračních testů
• vést, zaznamenávat a vyhodnocova
Na všechny výše uvedené kontrolní, monitorovací a testovací činnosti sestavili konzultanti Versa Systems tzv.
„Plán bezpečnostních kontrol a údržby“. Ve finální verzi tento plán obsahoval celkem 84 a
provádět v různých časových intervalech (denně, týdně, měsíčně, kvartálně, půlročně, ročně)
V rámci aktivit testování zranitelností specialisté Versa Systems realizovali i testování zranitelností pomocí
schváleného testovacího nástr
musí provádět kvartálně.
9. Fáze č. 8 – Certifikační proces Mastercard.
Certifikace dle požadavků Mastercard je p
trvá nepoměrně déle a je také mnohem důkladnější.
Vzhledem k tomu, že auditoři na certifikaci Mastercard jsou ze zahraničí, klade to, kromě náročnosti na
technologie a systém ISMS také
Příručka pro logickou bezpečnost, příručka pro fyzickou bezpečnost, provozní řády pro
transakční systém, pro systém personalizace a pro systém KSM (systém generování š
dokumenty byly vytvářeny dvojjazyčně pro potřeby zahraničních auditorů. Protože se jedná o poměrně složitou
problematiku, byly tyto dokumenty přeloženy do angličtiny experty Versa Systems. Součástí vytvářené
tupy pro havarijní plánování a obnovy funkčnosti a popis procesu managementu
incidentů. Samostatnou kapitolou byl návrh a tvorba dokumentace, včetně pracovních postupů pro bezpečnostní
testování, včetně postupů pro testování zranitelností a penetračních testů.
této fázi bylo nutné zejména:
lidské a finanční pro plnění jednotlivých programů řízení rizik, provoz a implementaci ISMS
vzdělávání a zvyšování bezpečnostního povědomí zaměstnanců
implementovat zvolená opatření prostřednictvím programů řízení rizik
implementovat postupy a procesy včetně nezbytných kontrol pro denní monitorování a kontrolu informační
implementovat systém pro rychlou detekci a reakci na bezpečnostní incidenty a zvyšování účinnosti I
implementovat plány obnovy funkčnosti jednotlivých systémů (Disaster Recovery Plans)
Monitorování a přezkoumávání ISMS. Pro správnou funkci ISMS dle Mastercard
nejdříve nezbytné kontroly a testování jednotlivých oblastí ISMS tak, aby bylo sebráno co největší množství dat a
provozu. Tato data se potom zpracovávala a ve formě reportů byla připravena k
ard. Základní činnosti monitorování a měření, které bylo nutné v této fázi provádět, byly následující:
pravidelné ověřování ISMS z hlediska plnění bezpečnostní politiky, cílů a programů pro snižování rizik a
ohledem na výsledky bezpečnostních auditů, incidentů, příp. podnětů zákazníků a jiných stran
pravidelné hodnocení efektivity implementovaných opatření pro snižování rizik s
organizaci, technologií, podnikatelských cílech a procesech, identifikovatelných změnách vnějšího prostředí
interní systémový audit ISMS, jako jeden ze základních kontrolních nástrojů pro zjištění stavu a
přezkoumávání ISMS vedením
zaznamenávat všechny činnosti a incidenty, které by mohly mít vliv na efektivitu nebo výkon ISMS
provádět testování fyzického i logického perimetru pomocí celé řady testů, především testů zranitelnosti a
vést, zaznamenávat a vyhodnocovat auditní logy, záznamy o činnostech administrátorů atd.
Na všechny výše uvedené kontrolní, monitorovací a testovací činnosti sestavili konzultanti Versa Systems tzv.
„Plán bezpečnostních kontrol a údržby“. Ve finální verzi tento plán obsahoval celkem 84 a
různých časových intervalech (denně, týdně, měsíčně, kvartálně, půlročně, ročně)
rámci aktivit testování zranitelností specialisté Versa Systems realizovali i testování zranitelností pomocí
schváleného testovacího nástroje PCI OUTSCAN (certifikace dle PCI DSS) dle požadavků Mastercard. Tento test se
Certifikační proces Mastercard. K této fázi se přistoupilo po cca 12 měsících trvání projektu.
Certifikace dle požadavků Mastercard je podobný proces jako u certifikace dle ISO/IEC 27001 s
trvá nepoměrně déle a je také mnohem důkladnější.
tomu, že auditoři na certifikaci Mastercard jsou ze zahraničí, klade to, kromě náročnosti na
technologie a systém ISMS také značné požadavky na kvalifikovaný a jazykově vybavený personál organizace.
4
Příručka pro logickou bezpečnost, příručka pro fyzickou bezpečnost, provozní řády pro
transakční systém, pro systém personalizace a pro systém KSM (systém generování šifrovacích klíčů) a další
dokumenty byly vytvářeny dvojjazyčně pro potřeby zahraničních auditorů. Protože se jedná o poměrně složitou
problematiku, byly tyto dokumenty přeloženy do angličtiny experty Versa Systems. Součástí vytvářené
havarijní plánování a obnovy funkčnosti a popis procesu managementu
incidentů. Samostatnou kapitolou byl návrh a tvorba dokumentace, včetně pracovních postupů pro bezpečnostní
lidské a finanční pro plnění jednotlivých programů řízení rizik, provoz a implementaci ISMS
implementovat postupy a procesy včetně nezbytných kontrol pro denní monitorování a kontrolu informační
implementovat systém pro rychlou detekci a reakci na bezpečnostní incidenty a zvyšování účinnosti ISMS
implementovat plány obnovy funkčnosti jednotlivých systémů (Disaster Recovery Plans)
. Pro správnou funkci ISMS dle Mastercard bylo nutné zahájit co
nejdříve nezbytné kontroly a testování jednotlivých oblastí ISMS tak, aby bylo sebráno co největší množství dat a
provozu. Tato data se potom zpracovávala a ve formě reportů byla připravena k prezentaci při auditu
této fázi provádět, byly následující:
hlediska plnění bezpečnostní politiky, cílů a programů pro snižování rizik a
identů, příp. podnětů zákazníků a jiných stran
pravidelné hodnocení efektivity implementovaných opatření pro snižování rizik s ohledem na změny
organizaci, technologií, podnikatelských cílech a procesech, identifikovatelných změnách vnějšího prostředí
ISMS, jako jeden ze základních kontrolních nástrojů pro zjištění stavu a
zaznamenávat všechny činnosti a incidenty, které by mohly mít vliv na efektivitu nebo výkon ISMS
provádět testování fyzického i logického perimetru pomocí celé řady testů, především testů zranitelnosti a
t auditní logy, záznamy o činnostech administrátorů atd.
Na všechny výše uvedené kontrolní, monitorovací a testovací činnosti sestavili konzultanti Versa Systems tzv.
„Plán bezpečnostních kontrol a údržby“. Ve finální verzi tento plán obsahoval celkem 84 aktivit, které je nutné
různých časových intervalech (denně, týdně, měsíčně, kvartálně, půlročně, ročně)
rámci aktivit testování zranitelností specialisté Versa Systems realizovali i testování zranitelností pomocí
oje PCI OUTSCAN (certifikace dle PCI DSS) dle požadavků Mastercard. Tento test se
této fázi se přistoupilo po cca 12 měsících trvání projektu.
odobný proces jako u certifikace dle ISO/IEC 27001 s tím rozdílem, že
tomu, že auditoři na certifikaci Mastercard jsou ze zahraničí, klade to, kromě náročnosti na
značné požadavky na kvalifikovaný a jazykově vybavený personál organizace.
Konzultanti Versa Systems byli v
pracovníků organizace, samozřejmě v
v současné době má organizace vydaný certifikát dokladující shodu s
do schválených dodavatelů Mastercard.
10. Fáze č. 9 – Údržba a zlepšování ISMS.
systému. V současné době má Versa Systems uzavřenou postimplementační dohodu (SLA ) o údržbě systému
ISMS v Organizaci.
Přínosy řešení
• Zákazník má implementovaný a certifikovaný
• Toto řešení umožňuje Organizaci personalizovat a dodávat platební karty pro bankovní sektor.
• Zavedením ISMS se nastavil systémový a procesní přístup k
definovanými odpovědnostmi za jednotlivé oblasti ISMS, s
• Zavedený systém bezpečnosti informací významně eliminuje možnost úniku informaci, nebo ohrožení
důvěrnosti, integrity a dostupnosti informačních aktiv v
• Zavedeným a certifikovaným ISMS se Organizace stává kva
platebních bankovních karet, což jí otvírá širší možnosti uplatnění jejich produktů v
Organizace je díky certifikaci Mastercard lépe vnímána v
• Zavedení ISMS je i ekonomicky výhodné, neboť n
minimalizace případných ekonomických ztrát, plynoucích z částečné nebo úplné ztráty informací či
nedostupnosti procesů Organizace. Náklady na systém se vrátí také realizací zisků v
produktů, které podléhají certifikaci Mastercard.
Konzultanti Versa Systems byli v této fázi přítomni u auditního procesu a zajišťovali nezbytnou podporu
pracovníků organizace, samozřejmě v mezích přípustných pravidel. Certifikační audit proběhl úspěšně a
současné době má organizace vydaný certifikát dokladující shodu s kritérii Mastercard a její jméno je zaneseno
do schválených dodavatelů Mastercard.
Údržba a zlepšování ISMS. Je to fáze udržování a dalšího rozvoje implementované a certifikovaného
současné době má Versa Systems uzavřenou postimplementační dohodu (SLA ) o údržbě systému
Zákazník má implementovaný a certifikovaný ISMS dle požadavků Mastercard.
Toto řešení umožňuje Organizaci personalizovat a dodávat platební karty pro bankovní sektor.
Zavedením ISMS se nastavil systémový a procesní přístup k řízení informační bezpečnosti s
definovanými odpovědnostmi za jednotlivé oblasti ISMS, s jasně popsanými postupy a pravidly v
Zavedený systém bezpečnosti informací významně eliminuje možnost úniku informaci, nebo ohrožení
důvěrnosti, integrity a dostupnosti informačních aktiv v Organizaci.
Zavedeným a certifikovaným ISMS se Organizace stává kvalifikovaným dodavatelem v
platebních bankovních karet, což jí otvírá širší možnosti uplatnění jejich produktů v
Organizace je díky certifikaci Mastercard lépe vnímána v bankovním sektoru.
Zavedení ISMS je i ekonomicky výhodné, neboť náklady se postupně vrátí zejména cestou
minimalizace případných ekonomických ztrát, plynoucích z částečné nebo úplné ztráty informací či
nedostupnosti procesů Organizace. Náklady na systém se vrátí také realizací zisků v
certifikaci Mastercard.
5
této fázi přítomni u auditního procesu a zajišťovali nezbytnou podporu
audit proběhl úspěšně a
kritérii Mastercard a její jméno je zaneseno
lementované a certifikovaného
současné době má Versa Systems uzavřenou postimplementační dohodu (SLA ) o údržbě systému
Toto řešení umožňuje Organizaci personalizovat a dodávat platební karty pro bankovní sektor.
řízení informační bezpečnosti s jasně
sanými postupy a pravidly v ISMS.
Zavedený systém bezpečnosti informací významně eliminuje možnost úniku informaci, nebo ohrožení
lifikovaným dodavatelem v oblasti
platebních bankovních karet, což jí otvírá širší možnosti uplatnění jejich produktů v bankovnictví.
áklady se postupně vrátí zejména cestou
minimalizace případných ekonomických ztrát, plynoucích z částečné nebo úplné ztráty informací či
nedostupnosti procesů Organizace. Náklady na systém se vrátí také realizací zisků v dodávkách