Požadavky na řízení bezpečnosti informačních systémů veřejné správy stanovuje vyhláška 529/2006 Sb., o dlouhodobém řízení informačních systémů veřejné správy. Ta ukládá orgánům veřejné správy povinnost zpracovat informační koncepci, ve které je nutno uvést: dlouhodobé cíle v rovině bezpečnosti dat,...
Požadavky na řízení bezpečnosti informačních systémů veřejné správy stanovuje vyhláška 529/2006 Sb., o dlouhodobém řízení informačních systémů veřejné správy. Ta ukládá orgánům veřejné správy povinnost zpracovat informační koncepci, ve které je nutno uvést:
dlouhodobé cíle v rovině bezpečnosti dat, technických prostředků, programových prostředků a bezpečnosti služeb, které jsou prostřednictvím těchto systémů poskytovány;
požadavky na bezpečnost informačních systémů veřejné správy;
plán řízení bezpečnosti, který obsahuje popis činností, které orgán veřejné správy vykonává pro dosažení stanovených požadavků na bezpečnost informačních systémů veřejné správy, včetně časového harmonogramu jejich plnění.
NORMA, O NIŽ SE LZE OPŘÍT
Řízení bezpečnosti informací a informačních systémů je velmi náročná činnost, pro niž rozhodně není vhodné používat nestandardní postupy. Nejvhodnější metodiku pro naplnění požadavků vyhlášky obsahuje norma ČSN ISO 27001 - Systémy managementu bezpečnosti informací. Částečně jsme se jí věnovali už v březnu (Komplexní řízení kvality IT se vyplatí, MO č. 3/2007, str. 15), kdy jsme popsali prvních pět oblastí bezpečnosti a stanovili cíle bezpečnosti. Nyní uvádíme zbývající oblasti bezpečnosti a jejich cíle. Takto stanovené oblasti lze v nezměněné podobě použít při tvorbě informační koncepce (požadavek vyhlášky 529/2006 Sb.). Podle svých potřeb je můžete samozřejmě rozšířit nebo zúžit. Zúžení je však nutné vždy zdůvodnit.
Oblasti ochrany informací a jejich cíle:
1/ až 5/ (Bezpečnostní politika, Organizace bezpečnosti informací, Řízení aktiv, Bezpečnost lidských zdrojů, Fyzická bezpečnost a bezpečnost prostředí - viz MO č. 3/2007)
6/ Řízení komunikací a řízení provozu
Cíl: Zajistit správný a bezpečný provoz prostředků pro zpracování informací.
Cíl: Zavést a udržovat přiměřenou úroveň bezpečnosti informací a úroveň dodávání služeb ve shodě s uzavřenými dohodami.
Cíl: Minimalizovat riziko selhání systémů.
Cíl: Chránit integritu programového vybavení a dat.
Cíl: Udržovat integritu a dostupnost informací a prostředků pro jejich zpracování.
Cíl: Zajistit ochranu informací v počítačových sítích a podpůrné infrastruktury.
Cíl: Předcházet neoprávněnému vyzrazení, modifikaci, ztrátě nebo poškození aktiv a přerušení činností organizace.
Cíl: Zajistit bezpečnost informací a programů při jejich výměně v rámci organizace a při jejich výměně s externími subjekty.
Cíl: Zajistit bezpečnost služeb elektronického obchodu a jejich bezpečné použití.
Cíl: Detekovat neoprávněné zpracování informací.
7/ Řízení přístupu
Cíl: Řídit přístup k informacím.
Cíl: Zajistit oprávněný přístup uživatelů a předcházet neoprávněnému přístupu k informačním systémům.
Cíl: Předcházet neoprávněnému uživatelskému přístupu, vyzrazení či krádeži informací a prostředků pro zpracování informací.
Cíl: Předcházet neautorizovanému přístupu k síťovým službám.
Cíl: Předcházet neautorizovanému přístupu k operačním systémům.
Cíl: Předcházet neoprávněnému přístupu k informacím uloženým v systémech.
Cíl: Zajistit bezpečnost informací při použití mobilní výpočetní techniky a zařízení pro práci na dálku.
8/ Akvizice, vývoj a údržba informačních systémů
Cíl: Zajistit, aby se bezpečnost stala neoddělitelnou součástí informačních systémů.
Cíl: Předcházet chybám, ztrátě, neoprávněné modifikaci nebo zneužití informací v aplikacích.
Cíl: Ochránit důvěrnost, autentičnost a integritu informací s pomocí kryptografických prostředků.
Cíl: Zajistit bezpečnost systémových souborů.
Cíl: Udržovat bezpečnost programového vybavení a informací aplikačních systémů.
Cíl: Snížit rizika vyplývající z využívání zveřejněných technických zranitelností.
9/ Zvládání bezpečnostních incidentů
Cíl: Zajistit nahlášení bezpečnostních událostí a slabin systému způsobem, který umožní včasné zahájení kroků k nápravě.
Cíl: Zajistit odpovídající a účinný přístup ke zvládání bezpečnostních incidentů.
10/ Řízení kontinuity činnosti organizace
Cíl: Bránit přerušení činností organizace a chránit kritické procesy organizace před následky závažných chyb a katastrof.
11/ Soulad s požadavky
Cíl: Vyvarovat se porušení norem trestního nebo občanského práva, zákonných nebo smluvních povinností a bezpečnostních požadavků.
Cíl: Zajistit shodu systémů s bezpečnostními politikami organizace a normami.
Cíl: Maximalizovat účinnost auditu a minimalizovat zásahy do/z informačních systémů.
Stanovení požadavků na bezpečnost a stanovení plánu řízení bezpečnosti musí předcházet identifikace toho, co má být chráněno (identifikace aktiv). Identifikaci aktiv včetně jejich klasifikace se budeme věnovat v některém z příštích čísel.
DANIEL KARDOŠ
externí posuzovatel ČIA