Případová studie Případová studie Zavedení ISMS dle standardu Mastercard

Případová studie

Zavedení ISMS dle standardu Mastercard

Výchozí stav

Organizace patří k významným dodavatelům IT technologií v oblasti systémů založených

na využití čipových karet v České a Slovenské republice

Hlavními produkty organizace jsou řešení v oblasti bezpečných transakčních systémů a

souvisejících produktů jako je bezpečná komunikace a autentizace splňující

bezpečnostní standardy.

Řešení jsou využívána v bankovním sektoru, u velkých obchodních řetězců, v

soukromých firmách či ve státní správě.

Základem dodávaných řešení je vlastní vývoj aplikačního SW v

karet.

Stav řízení informační bezpečnosti nebyl do té doby řešen procesně a systémově. Byla

nastavena určitá bezpečnostní pravidla, ale systémový přístup nebyl průkazný.

Tento stav generoval následující problematické oblasti:

1. Pracné a nejednotné řízení informační bezpečnosti s

v jednotlivých útvarech

2. Izolovaná řešení v jednotlivých útvarech bez možnosti celofiremního pohledu na

problematiku informační bezpečnosti

3. Malá informovanost o bezpečnostních incidentech v

4. Komplikované získávání podkladů o stavu informační bezpečnosti

5. Absence systému delegování odpovědností za jednotlivé oblasti bezpečnosti,

neexistence role manažera pro informační be

Případová studie

ISMS dle standardu Mastercard

Obsah

Zavedení ISMS dle standardu Mastercard

Výchozí stav

Obchodní cíle

Řešení

Přínosy řešení

významným dodavatelům IT technologií v oblasti systémů založených

České a Slovenské republice.

Hlavními produkty organizace jsou řešení v oblasti bezpečných transakčních systémů a

je bezpečná komunikace a autentizace splňující nejvyšší

Řešení jsou využívána v bankovním sektoru, u velkých obchodních řetězců, v

Základem dodávaných řešení je vlastní vývoj aplikačního SW vybavení a personalizace

Stav řízení informační bezpečnosti nebyl do té doby řešen procesně a systémově. Byla

nastavena určitá bezpečnostní pravidla, ale systémový přístup nebyl průkazný.

Tento stav generoval následující problematické oblasti:

a nejednotné řízení informační bezpečnosti s různými nároky

Izolovaná řešení v jednotlivých útvarech bez možnosti celofiremního pohledu na

Malá informovanost o bezpečnostních incidentech v jednotlivých útvarech

Komplikované získávání podkladů o stavu informační bezpečnosti

Absence systému delegování odpovědností za jednotlivé oblasti bezpečnosti,

neexistence role manažera pro informační bezpečnost

Organizace patří

k významným

dodavatelům IT

technologií v oblasti

systémů založených

na využití čipových karet

v České a Slovenské

republice.

1

Zavedení ISMS dle standardu Mastercard

Výchozí stav 1

Obchodní cíle 2

3

Přínosy řešení 4

Verze 1.0

Organizace patří

významným

dodavatelům IT

technologií v oblasti

systémů založených

na využití čipových karet

České a Slovenské

republice.

Obchodní cíle

Řešení

Vzhledem k tomu, že jeden významný zákazník společnosti, bankovní dům, požadoval personalizaci bankovních, platebních

karet, stal se tento požadavek iniciátorem naplnění strategického cíl

bezpečnosti (ISMS) v souladu se standardy ISO/IEC 27001 a Mastercard pro logickou a fyzickou bezpečnost.

Implementace ISMS dle požadavků Mastercard není běžným projektem, jak je tomu u implementac

Od implementace ISMS dle ISO/IEC 27001 a požadavků Mastercard Organizace očekávala následující zlepšení:

1. Proniknutí na nové trhy a rozšíření portfolia „sofistikovaných řešení“

2. Integrace a sjednocení současných bezpečnostních postu

3. Definování centrální politiky ISMS

4. Nastavení pravidel a postupů dle požadavků Mastercard

5. Zavedení systémového přístupu k

6. Zlepšení logické a fyzické bezpečnosti p

Implementace a následná certifikace ISMS dle požadavků Mastercard

běžná implementace ISMS dle ISO/IEC 27001. Z

implementací téměř stejný. Dá se říci, že implementace požadavků Mastercard je přísnější a mnohem

v oblasti aplikace jednotlivých bezpečnostních opatření, která jsou uvedena v

k tomu, že v mnohých případech si nelze vybrat pro realizaci bezpečnostních opatření variantu přenesení rizika na jinou

stranu nebo variantu administrativního řešení, je implementace požadavků Mastercard i finančně náročnější nejen

z pohledu implementace většinou technologických opatření, ale i z

zdrojů a definování různých bezpečnost

Práce řešitelského týmu, který byl složen z

expertů na technologickou bezpečnost a bezpečnostní testování, byly řízeny jako projekt dle metodiky PRI

s pomocí podpůrné aplikace MS Project.

Detailní harmonogram projektu byl sestaven na základě výstupů po provedené úvodní analýze ISMS.

Řešení implementace ISMS

vycházelo z požadavku

klienta na dosažení shody

s požadavky normy

ISO/IEC 27001 a

standardů Mastercard pro

logickou bezpečnost a

dosažení certifikace

Mastercard tak, aby bylo

možno v 10/2012 zahájit

výrobu bankovních karet.

tomu, že jeden významný zákazník společnosti, bankovní dům, požadoval personalizaci bankovních, platebních

karet, stal se tento požadavek iniciátorem naplnění strategického cíle společnosti, a to implementace systému řízení informační

souladu se standardy ISO/IEC 27001 a Mastercard pro logickou a fyzickou bezpečnost.

Implementace ISMS dle požadavků Mastercard není běžným projektem, jak je tomu u implementací ISMS dle ISO/IEC 27001.

Od implementace ISMS dle ISO/IEC 27001 a požadavků Mastercard Organizace očekávala následující zlepšení:

Proniknutí na nové trhy a rozšíření portfolia „sofistikovaných řešení“

Integrace a sjednocení současných bezpečnostních postupů a politik do jednoho systému řízení

Definování centrální politiky ISMS

Nastavení pravidel a postupů dle požadavků Mastercard

managementu rizik založenému na dokumentovaném postupu

Zlepšení logické a fyzické bezpečnosti personalizace

ntace a následná certifikace ISMS dle požadavků Mastercard je, v mnoha ohledech, mnohem náročnější, než

běžná implementace ISMS dle ISO/IEC 27001. Z pohledu implementace procesního a systémového řízení je postup obou

implementací téměř stejný. Dá se říci, že implementace požadavků Mastercard je přísnější a mnohem

oblasti aplikace jednotlivých bezpečnostních opatření, která jsou uvedena v příloze A normy ISO/IEC 27001. Vzhledem

mnohých případech si nelze vybrat pro realizaci bezpečnostních opatření variantu přenesení rizika na jinou

nebo variantu administrativního řešení, je implementace požadavků Mastercard i finančně náročnější nejen

pohledu implementace většinou technologických opatření, ale i z pohledu větších požadavků na potřebu lidských

zdrojů a definování různých bezpečnostních rolí a jejich zastupitelnosti.

Práce řešitelského týmu, který byl složen z konzultantů na procesní řízení ISMS, specialisty na management rizik a

expertů na technologickou bezpečnost a bezpečnostní testování, byly řízeny jako projekt dle metodiky PRI

pomocí podpůrné aplikace MS Project.

Detailní harmonogram projektu byl sestaven na základě výstupů po provedené úvodní analýze ISMS.

Řešení implementace ISMS

standardů Mastercard pro

2

tomu, že jeden významný zákazník společnosti, bankovní dům, požadoval personalizaci bankovních, platebních

e společnosti, a to implementace systému řízení informační

souladu se standardy ISO/IEC 27001 a Mastercard pro logickou a fyzickou bezpečnost.

í ISMS dle ISO/IEC 27001.

Od implementace ISMS dle ISO/IEC 27001 a požadavků Mastercard Organizace očekávala následující zlepšení:

pů a politik do jednoho systému řízení

managementu rizik založenému na dokumentovaném postupu

mnoha ohledech, mnohem náročnější, než

pohledu implementace procesního a systémového řízení je postup obou

implementací téměř stejný. Dá se říci, že implementace požadavků Mastercard je přísnější a mnohem závaznější

příloze A normy ISO/IEC 27001. Vzhledem

mnohých případech si nelze vybrat pro realizaci bezpečnostních opatření variantu přenesení rizika na jinou

nebo variantu administrativního řešení, je implementace požadavků Mastercard i finančně náročnější nejen

pohledu větších požadavků na potřebu lidských

konzultantů na procesní řízení ISMS, specialisty na management rizik a

expertů na technologickou bezpečnost a bezpečnostní testování, byly řízeny jako projekt dle metodiky PRINCE2 a

Detailní harmonogram projektu byl sestaven na základě výstupů po provedené úvodní analýze ISMS.

Implementace byla rozdělena do devíti

1. Fáze č. 1 – Provedení úvodní analýzy ISMS

informační bezpečnosti a stanovení míry plnění požadavků ISO/IEC 27001 a Mastercard. Součástí této fáze bylo i

vypracování detailního harmonogramu jednotlivých činností, včetně nároků na lidské zdroje.

2. Fáze č. 2 – Stanovení rozsahu a struktury ISMS

strukturu ISMS, co se bude chránit a na které oblasti organizace se bude ISMS vztahovat. Základním podkladem

pro stanovení rozsahu a struktury ISMS byla

rozsahu a struktury ISMS byl seznam informačních aktiv, které jsou důležité z

V této fázi konzultanti Versa Systems společně s

systému informační bezpečnosti.

3. Fáze č. 3 – Stanovení bezpečnostní politiky

pokrývala rozsah a hranice ISMS, přičemž se zároveň vycházelo z

nezbytným podkladem pro definování základních principů v bezpečnostní politice

4. Fáze č. 4 – Zavedení systematického řízení rizik

hodnocení a řízení rizik na základě vybraných hrozeb a zranitelností pro aktiva v

bylo také stanovení postupu pro definování akceptovatelné/neakceptovatelné úrovně riz

nutné identifikovat a ohodnotit aktiva organizace, včetně přiřazení jejich vlastníků. Dále k

identifikovaly hrozby a zranitelnosti aktiv. Následně bylo třeba stanovit pravděpodobnosti výskytu jednotlivých

hrozeb. Nakonec se pro každé aktivum vypočetlo riziko jako součin pravděpodobnosti a dopadu. Analýza rizik

byla prováděna formou brainstormingu za účasti jednotlivých vlastníků aktiv, konzultantů Versa Systems a

zkušeného moderátora, přičemž se použila metoda „WHAT

postup implementace, především pro výběr variant řízení rizik a vhodných bezpečnostních opatření pro jejich

eliminaci.

5. Fáze č. 5 – Návrh a výběr variant pro řízení rizik a návrh jednotlivých bezpečnostních

neakceptovatelných rizik. Na základě výsledků analýzy rizik a politiky ISMS vypracovali konzultanti Versa Systems

návrh variant pro eliminaci rizik a návrh opatření pro řízení rizik. Výstupem z

zpráva s popisem neakceptovatelných rizik a návrhem variant a opatření pro jejich eliminaci. Tato zpráva byla

prezentována vedení organizace. Zástupci vedení spolu s

jednotlivá neakceptovatelná rizika nejvhodnější

z následujících priorit:

• vědomé přijetí rizik, je

rizika)

• vyhnutí se rizikům

• přenesení nebo rozložení míry riz

• splnění požadavků platných zákonů, požadavků Mastercard, aplikovaných norem a dalších předpisů

• plánovaný rozvoj aktivit organizace a jejího ISMS

• uplatnění „best practices“

6. Fáze č. 6 - Implementace a provoz ISMS.

nejsložitější a nejdelší fázi realizace projektu. Na začátku této fáze bylo nutno k

snižování rizik vytvořit plány implementace těchto opatření, tzv.

Treatment Plans). Takto sestavené plány bylo nutno realizovat v

provozu. Vedle toho vznikaly a byly uváděny do praxe jednotlivé dokumentované procesy, provozní řády,

bezpečnostní a testovací postupy, směrnice a politiky tak, jak to předepisují požadavky Mastercard. Konzultanti

Versa Systems vytvořili drafty bezpečnostní dokumentace, šablony a formuláře pro jednotlivé dokumenty a

záznamy, které pokrývaly celý životní cyklus

devíti fází:

Provedení úvodní analýzy ISMS, tj. hledání silných a slabých stránek (SWOT) ve stávajícím systému

informační bezpečnosti a stanovení míry plnění požadavků ISO/IEC 27001 a Mastercard. Součástí této fáze bylo i

vypracování detailního harmonogramu jednotlivých činností, včetně nároků na lidské zdroje.

Stanovení rozsahu a struktury ISMS. Hned na začátku implementace je nutné stanovit rozsah a

strukturu ISMS, co se bude chránit a na které oblasti organizace se bude ISMS vztahovat. Základním podkladem

pro stanovení rozsahu a struktury ISMS byla úvodní analýza (situační audit) ISMS. Dalším zdrojem pro stanovení

rozsahu a struktury ISMS byl seznam informačních aktiv, které jsou důležité z hlediska informační bezpečnosti.

této fázi konzultanti Versa Systems společně s pracovníky Organizace vymezili před

systému informační bezpečnosti.

Stanovení bezpečnostní politiky (Politika ISMS). V této fázi byla stanovena politika ISMS tak, aby

pokrývala rozsah a hranice ISMS, přičemž se zároveň vycházelo z výsledků úvodní analýzy, která

nezbytným podkladem pro definování základních principů v bezpečnostní politice.

Zavedení systematického řízení rizik (management rizik), tj. zpracování metodiky pro analýzu,

hodnocení a řízení rizik na základě vybraných hrozeb a zranitelností pro aktiva v rozsahu ISMS. Součástí metodiky

bylo také stanovení postupu pro definování akceptovatelné/neakceptovatelné úrovně riz

nutné identifikovat a ohodnotit aktiva organizace, včetně přiřazení jejich vlastníků. Dále k

identifikovaly hrozby a zranitelnosti aktiv. Následně bylo třeba stanovit pravděpodobnosti výskytu jednotlivých

nec se pro každé aktivum vypočetlo riziko jako součin pravděpodobnosti a dopadu. Analýza rizik

byla prováděna formou brainstormingu za účasti jednotlivých vlastníků aktiv, konzultantů Versa Systems a

zkušeného moderátora, přičemž se použila metoda „WHAT – IF“. Výsledky analýzy rizik byly klíčové pro další

postup implementace, především pro výběr variant řízení rizik a vhodných bezpečnostních opatření pro jejich

Návrh a výběr variant pro řízení rizik a návrh jednotlivých bezpečnostních

Na základě výsledků analýzy rizik a politiky ISMS vypracovali konzultanti Versa Systems

návrh variant pro eliminaci rizik a návrh opatření pro řízení rizik. Výstupem z této a předchozí fáze byla podrobná

popisem neakceptovatelných rizik a návrhem variant a opatření pro jejich eliminaci. Tato zpráva byla

prezentována vedení organizace. Zástupci vedení spolu s pracovníky bezpečnostního výboru vybrali pro

jednotlivá neakceptovatelná rizika nejvhodnější řešení. Při výběru bezpečnostních opatření vycházeli především

vědomé přijetí rizik, je-li to v souladu s bezpečnostní politikou a systémem řízení rizik (akceptovatelná

přenesení nebo rozložení míry rizika na další strany (například dodavatele, pojišťovny)

splnění požadavků platných zákonů, požadavků Mastercard, aplikovaných norem a dalších předpisů

plánovaný rozvoj aktivit organizace a jejího ISMS

uplatnění „best practices“

provoz ISMS. Implementace bezpečnostních opatření a jejich testování. Jednalo se o

nejsložitější a nejdelší fázi realizace projektu. Na začátku této fáze bylo nutno k vybraným opatřením pro

snižování rizik vytvořit plány implementace těchto opatření, tzv. Programy pro zvládání rizik

Treatment Plans). Takto sestavené plány bylo nutno realizovat v praxi a postupně jednotlivá opatření uvést do

provozu. Vedle toho vznikaly a byly uváděny do praxe jednotlivé dokumentované procesy, provozní řády,

ečnostní a testovací postupy, směrnice a politiky tak, jak to předepisují požadavky Mastercard. Konzultanti

Versa Systems vytvořili drafty bezpečnostní dokumentace, šablony a formuláře pro jednotlivé dokumenty a

, které pokrývaly celý životní cyklus systému logické a fyzické bezpečnosti dle požadavků Mastercard.

3

slabých stránek (SWOT) ve stávajícím systému

informační bezpečnosti a stanovení míry plnění požadavků ISO/IEC 27001 a Mastercard. Součástí této fáze bylo i

vypracování detailního harmonogramu jednotlivých činností, včetně nároků na lidské zdroje.

Hned na začátku implementace je nutné stanovit rozsah a

strukturu ISMS, co se bude chránit a na které oblasti organizace se bude ISMS vztahovat. Základním podkladem

(situační audit) ISMS. Dalším zdrojem pro stanovení

hlediska informační bezpečnosti.

pracovníky Organizace vymezili předmět (rozsah) a hranice

této fázi byla stanovena politika ISMS tak, aby

výsledků úvodní analýzy, která je prakticky

(management rizik), tj. zpracování metodiky pro analýzu,

rozsahu ISMS. Součástí metodiky

bylo také stanovení postupu pro definování akceptovatelné/neakceptovatelné úrovně rizika. V této fázi bylo

nutné identifikovat a ohodnotit aktiva organizace, včetně přiřazení jejich vlastníků. Dále k daným aktivům se

identifikovaly hrozby a zranitelnosti aktiv. Následně bylo třeba stanovit pravděpodobnosti výskytu jednotlivých

nec se pro každé aktivum vypočetlo riziko jako součin pravděpodobnosti a dopadu. Analýza rizik

byla prováděna formou brainstormingu za účasti jednotlivých vlastníků aktiv, konzultantů Versa Systems a

IF“. Výsledky analýzy rizik byly klíčové pro další

postup implementace, především pro výběr variant řízení rizik a vhodných bezpečnostních opatření pro jejich

Návrh a výběr variant pro řízení rizik a návrh jednotlivých bezpečnostních opatření pro eliminaci

Na základě výsledků analýzy rizik a politiky ISMS vypracovali konzultanti Versa Systems

této a předchozí fáze byla podrobná

popisem neakceptovatelných rizik a návrhem variant a opatření pro jejich eliminaci. Tato zpráva byla

pracovníky bezpečnostního výboru vybrali pro

řešení. Při výběru bezpečnostních opatření vycházeli především

bezpečnostní politikou a systémem řízení rizik (akceptovatelná

ika na další strany (například dodavatele, pojišťovny)

splnění požadavků platných zákonů, požadavků Mastercard, aplikovaných norem a dalších předpisů

Implementace bezpečnostních opatření a jejich testování. Jednalo se o

vybraným opatřením pro

Programy pro zvládání rizik (RTP = Risk

praxi a postupně jednotlivá opatření uvést do

provozu. Vedle toho vznikaly a byly uváděny do praxe jednotlivé dokumentované procesy, provozní řády,

ečnostní a testovací postupy, směrnice a politiky tak, jak to předepisují požadavky Mastercard. Konzultanti

Versa Systems vytvořili drafty bezpečnostní dokumentace, šablony a formuláře pro jednotlivé dokumenty a

systému logické a fyzické bezpečnosti dle požadavků Mastercard.

7. Stěžejní dokumentace – Příručka pro logickou bezpečnost, příručka pro fyzickou bezpečnost, provozní řády pro

transakční systém, pro systém personalizace a pro systém KSM (systém generování š

dokumenty byly vytvářeny dvojjazyčně pro potřeby zahraničních auditorů. Protože se jedná o poměrně složitou

problematiku, byly tyto dokumenty přeloženy do angličtiny experty Versa Systems. Součástí vytvářené

dokumentace byly i postupy pro

incidentů. Samostatnou kapitolou byl návrh a tvorba dokumentace, včetně pracovních postupů pro bezpečnostní

testování, včetně postupů pro testování zranitelností a penetračních te

V této fázi bylo nutné zejména:

• alokovat zdroje lidské a finanční pro plnění jednotlivých programů řízení rizik, provoz a implementaci ISMS

• připravit programy vzdělávání

• implementovat zvolená opatře

• implementovat postupy a procesy včetně nezbytných kontrol pro denní monitorování a kontrolu informační

bezpečnosti

• implementovat systém pro rychlou detekci a reakci na bezpečnostní incidenty a zvyšování účinnosti I

• implementovat plány obnovy funkčnosti jednotlivých systémů (Disaster Recovery Plans)

8. Fáze č. 7 – Monitorování a přezkoumávání ISMS

nejdříve nezbytné kontroly a testování jednotlivých oblastí ISMS tak, aby bylo sebráno co největší množství dat a

informací z provozu. Tato data se potom zpracovávala a ve formě reportů byla připravena k

Mastercard. Základní činnosti monitorování a měření, které bylo nutné v

• pravidelné ověřování ISMS z

s ohledem na výsledky bezpečnostních auditů, inc

• pravidelné hodnocení efektivity implementovaných opatření pro snižování rizik s

v organizaci, technologií, podnikatelských cílech a procesech, identifikovatelných změnách vnějšího prostředí

atd.

• realizovat interní systémový audit

úrovně zavedení ISMS

• provést přezkoumávání ISMS vedením

• zaznamenávat všechny činnosti a incidenty, které by mohly mít vliv na efektivitu nebo výkon ISMS

• provádět testování fyzického i logického perimetru pomocí celé řady testů, především testů zranitelnosti a

penetračních testů

• vést, zaznamenávat a vyhodnocova

Na všechny výše uvedené kontrolní, monitorovací a testovací činnosti sestavili konzultanti Versa Systems tzv.

„Plán bezpečnostních kontrol a údržby“. Ve finální verzi tento plán obsahoval celkem 84 a

provádět v různých časových intervalech (denně, týdně, měsíčně, kvartálně, půlročně, ročně)

V rámci aktivit testování zranitelností specialisté Versa Systems realizovali i testování zranitelností pomocí

schváleného testovacího nástr

musí provádět kvartálně.

9. Fáze č. 8 – Certifikační proces Mastercard.

Certifikace dle požadavků Mastercard je p

trvá nepoměrně déle a je také mnohem důkladnější.

Vzhledem k tomu, že auditoři na certifikaci Mastercard jsou ze zahraničí, klade to, kromě náročnosti na

technologie a systém ISMS také

Příručka pro logickou bezpečnost, příručka pro fyzickou bezpečnost, provozní řády pro

transakční systém, pro systém personalizace a pro systém KSM (systém generování š

dokumenty byly vytvářeny dvojjazyčně pro potřeby zahraničních auditorů. Protože se jedná o poměrně složitou

problematiku, byly tyto dokumenty přeloženy do angličtiny experty Versa Systems. Součástí vytvářené

tupy pro havarijní plánování a obnovy funkčnosti a popis procesu managementu

incidentů. Samostatnou kapitolou byl návrh a tvorba dokumentace, včetně pracovních postupů pro bezpečnostní

testování, včetně postupů pro testování zranitelností a penetračních testů.

této fázi bylo nutné zejména:

lidské a finanční pro plnění jednotlivých programů řízení rizik, provoz a implementaci ISMS

vzdělávání a zvyšování bezpečnostního povědomí zaměstnanců

implementovat zvolená opatření prostřednictvím programů řízení rizik

implementovat postupy a procesy včetně nezbytných kontrol pro denní monitorování a kontrolu informační

implementovat systém pro rychlou detekci a reakci na bezpečnostní incidenty a zvyšování účinnosti I

implementovat plány obnovy funkčnosti jednotlivých systémů (Disaster Recovery Plans)

Monitorování a přezkoumávání ISMS. Pro správnou funkci ISMS dle Mastercard

nejdříve nezbytné kontroly a testování jednotlivých oblastí ISMS tak, aby bylo sebráno co největší množství dat a

provozu. Tato data se potom zpracovávala a ve formě reportů byla připravena k

ard. Základní činnosti monitorování a měření, které bylo nutné v této fázi provádět, byly následující:

pravidelné ověřování ISMS z hlediska plnění bezpečnostní politiky, cílů a programů pro snižování rizik a

ohledem na výsledky bezpečnostních auditů, incidentů, příp. podnětů zákazníků a jiných stran

pravidelné hodnocení efektivity implementovaných opatření pro snižování rizik s

organizaci, technologií, podnikatelských cílech a procesech, identifikovatelných změnách vnějšího prostředí

interní systémový audit ISMS, jako jeden ze základních kontrolních nástrojů pro zjištění stavu a

přezkoumávání ISMS vedením

zaznamenávat všechny činnosti a incidenty, které by mohly mít vliv na efektivitu nebo výkon ISMS

provádět testování fyzického i logického perimetru pomocí celé řady testů, především testů zranitelnosti a

vést, zaznamenávat a vyhodnocovat auditní logy, záznamy o činnostech administrátorů atd.

Na všechny výše uvedené kontrolní, monitorovací a testovací činnosti sestavili konzultanti Versa Systems tzv.

„Plán bezpečnostních kontrol a údržby“. Ve finální verzi tento plán obsahoval celkem 84 a

různých časových intervalech (denně, týdně, měsíčně, kvartálně, půlročně, ročně)

rámci aktivit testování zranitelností specialisté Versa Systems realizovali i testování zranitelností pomocí

schváleného testovacího nástroje PCI OUTSCAN (certifikace dle PCI DSS) dle požadavků Mastercard. Tento test se

Certifikační proces Mastercard. K této fázi se přistoupilo po cca 12 měsících trvání projektu.

Certifikace dle požadavků Mastercard je podobný proces jako u certifikace dle ISO/IEC 27001 s

trvá nepoměrně déle a je také mnohem důkladnější.

tomu, že auditoři na certifikaci Mastercard jsou ze zahraničí, klade to, kromě náročnosti na

technologie a systém ISMS také značné požadavky na kvalifikovaný a jazykově vybavený personál organizace.

4

Příručka pro logickou bezpečnost, příručka pro fyzickou bezpečnost, provozní řády pro

transakční systém, pro systém personalizace a pro systém KSM (systém generování šifrovacích klíčů) a další

dokumenty byly vytvářeny dvojjazyčně pro potřeby zahraničních auditorů. Protože se jedná o poměrně složitou

problematiku, byly tyto dokumenty přeloženy do angličtiny experty Versa Systems. Součástí vytvářené

havarijní plánování a obnovy funkčnosti a popis procesu managementu

incidentů. Samostatnou kapitolou byl návrh a tvorba dokumentace, včetně pracovních postupů pro bezpečnostní

lidské a finanční pro plnění jednotlivých programů řízení rizik, provoz a implementaci ISMS

implementovat postupy a procesy včetně nezbytných kontrol pro denní monitorování a kontrolu informační

implementovat systém pro rychlou detekci a reakci na bezpečnostní incidenty a zvyšování účinnosti ISMS

implementovat plány obnovy funkčnosti jednotlivých systémů (Disaster Recovery Plans)

. Pro správnou funkci ISMS dle Mastercard bylo nutné zahájit co

nejdříve nezbytné kontroly a testování jednotlivých oblastí ISMS tak, aby bylo sebráno co největší množství dat a

provozu. Tato data se potom zpracovávala a ve formě reportů byla připravena k prezentaci při auditu

této fázi provádět, byly následující:

hlediska plnění bezpečnostní politiky, cílů a programů pro snižování rizik a

identů, příp. podnětů zákazníků a jiných stran

pravidelné hodnocení efektivity implementovaných opatření pro snižování rizik s ohledem na změny

organizaci, technologií, podnikatelských cílech a procesech, identifikovatelných změnách vnějšího prostředí

ISMS, jako jeden ze základních kontrolních nástrojů pro zjištění stavu a

zaznamenávat všechny činnosti a incidenty, které by mohly mít vliv na efektivitu nebo výkon ISMS

provádět testování fyzického i logického perimetru pomocí celé řady testů, především testů zranitelnosti a

t auditní logy, záznamy o činnostech administrátorů atd.

Na všechny výše uvedené kontrolní, monitorovací a testovací činnosti sestavili konzultanti Versa Systems tzv.

„Plán bezpečnostních kontrol a údržby“. Ve finální verzi tento plán obsahoval celkem 84 aktivit, které je nutné

různých časových intervalech (denně, týdně, měsíčně, kvartálně, půlročně, ročně)

rámci aktivit testování zranitelností specialisté Versa Systems realizovali i testování zranitelností pomocí

oje PCI OUTSCAN (certifikace dle PCI DSS) dle požadavků Mastercard. Tento test se

této fázi se přistoupilo po cca 12 měsících trvání projektu.

odobný proces jako u certifikace dle ISO/IEC 27001 s tím rozdílem, že

tomu, že auditoři na certifikaci Mastercard jsou ze zahraničí, klade to, kromě náročnosti na

značné požadavky na kvalifikovaný a jazykově vybavený personál organizace.

Konzultanti Versa Systems byli v

pracovníků organizace, samozřejmě v

v současné době má organizace vydaný certifikát dokladující shodu s

do schválených dodavatelů Mastercard.

10. Fáze č. 9 – Údržba a zlepšování ISMS.

systému. V současné době má Versa Systems uzavřenou postimplementační dohodu (SLA ) o údržbě systému

ISMS v Organizaci.

Přínosy řešení

• Zákazník má implementovaný a certifikovaný

• Toto řešení umožňuje Organizaci personalizovat a dodávat platební karty pro bankovní sektor.

• Zavedením ISMS se nastavil systémový a procesní přístup k

definovanými odpovědnostmi za jednotlivé oblasti ISMS, s

• Zavedený systém bezpečnosti informací významně eliminuje možnost úniku informaci, nebo ohrožení

důvěrnosti, integrity a dostupnosti informačních aktiv v

• Zavedeným a certifikovaným ISMS se Organizace stává kva

platebních bankovních karet, což jí otvírá širší možnosti uplatnění jejich produktů v

Organizace je díky certifikaci Mastercard lépe vnímána v

• Zavedení ISMS je i ekonomicky výhodné, neboť n

minimalizace případných ekonomických ztrát, plynoucích z částečné nebo úplné ztráty informací či

nedostupnosti procesů Organizace. Náklady na systém se vrátí také realizací zisků v

produktů, které podléhají certifikaci Mastercard.

Konzultanti Versa Systems byli v této fázi přítomni u auditního procesu a zajišťovali nezbytnou podporu

pracovníků organizace, samozřejmě v mezích přípustných pravidel. Certifikační audit proběhl úspěšně a

současné době má organizace vydaný certifikát dokladující shodu s kritérii Mastercard a její jméno je zaneseno

do schválených dodavatelů Mastercard.

Údržba a zlepšování ISMS. Je to fáze udržování a dalšího rozvoje implementované a certifikovaného

současné době má Versa Systems uzavřenou postimplementační dohodu (SLA ) o údržbě systému

Zákazník má implementovaný a certifikovaný ISMS dle požadavků Mastercard.

Toto řešení umožňuje Organizaci personalizovat a dodávat platební karty pro bankovní sektor.

Zavedením ISMS se nastavil systémový a procesní přístup k řízení informační bezpečnosti s

definovanými odpovědnostmi za jednotlivé oblasti ISMS, s jasně popsanými postupy a pravidly v

Zavedený systém bezpečnosti informací významně eliminuje možnost úniku informaci, nebo ohrožení

důvěrnosti, integrity a dostupnosti informačních aktiv v Organizaci.

Zavedeným a certifikovaným ISMS se Organizace stává kvalifikovaným dodavatelem v

platebních bankovních karet, což jí otvírá širší možnosti uplatnění jejich produktů v

Organizace je díky certifikaci Mastercard lépe vnímána v bankovním sektoru.

Zavedení ISMS je i ekonomicky výhodné, neboť náklady se postupně vrátí zejména cestou

minimalizace případných ekonomických ztrát, plynoucích z částečné nebo úplné ztráty informací či

nedostupnosti procesů Organizace. Náklady na systém se vrátí také realizací zisků v

certifikaci Mastercard.

5

této fázi přítomni u auditního procesu a zajišťovali nezbytnou podporu

audit proběhl úspěšně a

kritérii Mastercard a její jméno je zaneseno

lementované a certifikovaného

současné době má Versa Systems uzavřenou postimplementační dohodu (SLA ) o údržbě systému

Toto řešení umožňuje Organizaci personalizovat a dodávat platební karty pro bankovní sektor.

řízení informační bezpečnosti s jasně

sanými postupy a pravidly v ISMS.

Zavedený systém bezpečnosti informací významně eliminuje možnost úniku informaci, nebo ohrožení

lifikovaným dodavatelem v oblasti

platebních bankovních karet, což jí otvírá širší možnosti uplatnění jejich produktů v bankovnictví.

áklady se postupně vrátí zejména cestou

minimalizace případných ekonomických ztrát, plynoucích z částečné nebo úplné ztráty informací či

nedostupnosti procesů Organizace. Náklady na systém se vrátí také realizací zisků v dodávkách