01.01.1970 | 12:01
Autor:
Kategorie:
Štítky:

Informační koncepce a bezpečnost systémů

Požadavky na řízení bezpečnosti informačních systémů veřejné správy stanovuje vyhláška 529/2006 Sb., o dlouhodobém řízení informačních systémů veřejné správy. Ta ukládá orgánům veřejné správy povinnost zpracovat informační koncepci, ve které je nutno uvést: dlouhodobé cíle v rovině bezpečnosti dat,...

Požadavky na řízení bezpečnosti informačních systémů veřejné správy stanovuje vyhláška 529/2006 Sb., o dlouhodobém řízení informačních systémů veřejné správy. Ta ukládá orgánům veřejné správy povinnost zpracovat informační koncepci, ve které je nutno uvést:

dlouhodobé cíle v rovině bezpečnosti dat, technických prostředků, programových prostředků a bezpečnosti služeb, které jsou prostřednictvím těchto systémů poskytovány;

požadavky na bezpečnost informačních systémů veřejné správy;

plán řízení bezpečnosti, který obsahuje popis činností, které orgán veřejné správy vykonává pro dosažení stanovených požadavků na bezpečnost informačních systémů veřejné správy, včetně časového harmonogramu jejich plnění.

NORMA, O NIŽ SE LZE OPŘÍT

Řízení bezpečnosti informací a informačních systémů je velmi náročná činnost, pro niž rozhodně není vhodné používat nestandardní postupy. Nejvhodnější metodiku pro naplnění požadavků vyhlášky obsahuje norma ČSN ISO 27001 - Systémy managementu bezpečnosti informací. Částečně jsme se jí věnovali už v březnu (Komplexní řízení kvality IT se vyplatí, MO č. 3/2007, str. 15), kdy jsme popsali prvních pět oblastí bezpečnosti a stanovili cíle bezpečnosti. Nyní uvádíme zbývající oblasti bezpečnosti a jejich cíle. Takto stanovené oblasti lze v nezměněné podobě použít při tvorbě informační koncepce (požadavek vyhlášky 529/2006 Sb.). Podle svých potřeb je můžete samozřejmě rozšířit nebo zúžit. Zúžení je však nutné vždy zdůvodnit.

Oblasti ochrany informací a jejich cíle:

1/ až 5/ (Bezpečnostní politika, Organizace bezpečnosti informací, Řízení aktiv, Bezpečnost lidských zdrojů, Fyzická bezpečnost a bezpečnost prostředí - viz MO č. 3/2007)

6/ Řízení komunikací a řízení provozu

Cíl: Zajistit správný a bezpečný provoz prostředků pro zpracování informací.

Cíl: Zavést a udržovat přiměřenou úroveň bezpečnosti informací a úroveň dodávání služeb ve shodě s uzavřenými dohodami.

Cíl: Minimalizovat riziko selhání systémů.

Cíl: Chránit integritu programového vybavení a dat.

Cíl: Udržovat integritu a dostupnost informací a prostředků pro jejich zpracování.

Cíl: Zajistit ochranu informací v počítačových sítích a podpůrné infrastruktury.

Cíl: Předcházet neoprávněnému vyzrazení, modifikaci, ztrátě nebo poškození aktiv a přerušení činností organizace.

Cíl: Zajistit bezpečnost informací a programů při jejich výměně v rámci organizace a při jejich výměně s externími subjekty.

Cíl: Zajistit bezpečnost služeb elektronického obchodu a jejich bezpečné použití.

Cíl: Detekovat neoprávněné zpracování informací.

7/ Řízení přístupu

Cíl: Řídit přístup k informacím.

Cíl: Zajistit oprávněný přístup uživatelů a předcházet neoprávněnému přístupu k informačním systémům.

Cíl: Předcházet neoprávněnému uživatelskému přístupu, vyzrazení či krádeži informací a prostředků pro zpracování informací.

Cíl: Předcházet neautorizovanému přístupu k síťovým službám.

Cíl: Předcházet neautorizovanému přístupu k operačním systémům.

Cíl: Předcházet neoprávněnému přístupu k informacím uloženým v systémech.

Cíl: Zajistit bezpečnost informací při použití mobilní výpočetní techniky a zařízení pro práci na dálku.

8/ Akvizice, vývoj a údržba informačních systémů

Cíl: Zajistit, aby se bezpečnost stala neoddělitelnou součástí informačních systémů.

Cíl: Předcházet chybám, ztrátě, neoprávněné modifikaci nebo zneužití informací v aplikacích.

Cíl: Ochránit důvěrnost, autentičnost a integritu informací s pomocí kryptografických prostředků.

Cíl: Zajistit bezpečnost systémových souborů.

Cíl: Udržovat bezpečnost programového vybavení a informací aplikačních systémů.

Cíl: Snížit rizika vyplývající z využívání zveřejněných technických zranitelností.

9/ Zvládání bezpečnostních incidentů

Cíl: Zajistit nahlášení bezpečnostních událostí a slabin systému způsobem, který umožní včasné zahájení kroků k nápravě.

Cíl: Zajistit odpovídající a účinný přístup ke zvládání bezpečnostních incidentů.

10/ Řízení kontinuity činnosti organizace

Cíl: Bránit přerušení činností organizace a chránit kritické procesy organizace před následky závažných chyb a katastrof.

11/ Soulad s požadavky

Cíl: Vyvarovat se porušení norem trestního nebo občanského práva, zákonných nebo smluvních povinností a bezpečnostních požadavků.

Cíl: Zajistit shodu systémů s bezpečnostními politikami organizace a normami.

Cíl: Maximalizovat účinnost auditu a minimalizovat zásahy do/z informačních systémů.

Stanovení požadavků na bezpečnost a stanovení plánu řízení bezpečnosti musí předcházet identifikace toho, co má být chráněno (identifikace aktiv). Identifikaci aktiv včetně jejich klasifikace se budeme věnovat v některém z příštích čísel.

DANIEL KARDOŠ
externí posuzovatel ČIA

Napsat komentář

Napsat komentář

deník / newsletter

Odesláním souhlasíte se zpracováním osobních údajů za účelem zasílání obchodních sdělení.
Copyright © 2024 Profi Press s.r.o.
crossmenuchevron-down