Stacks Image 7

Bezpečnostný projekt IS

Know-how, poznanie a informácie sú základným majetkom vašej organizácie v informačnej ére. Máte istotu, že informačné systémy, v ktorých sú uložené, sú dostatočne zabezpečené? Myslíte na riešenie bezpečnosti nových IS už počas ich vývoja a implementácie?
Gordias pre vás vypracuje komplexný bezpečnostný projekt IS presne na mieru vášho informačného systému. Jeho cieľom je minimalizácia hrozieb a rizík pôsobiacich na IS z hľadiska narušenia jeho bezpečnosti, spoľahlivosti a funkčnosti a ochrana dôvernosti, integrity a dostupnosti údajov a služieb IS. Vieme pokryť existujúci IS v prevádzke, ale aj IS v ktorejkoľvek fáze vývoja (ideálnym prípadom však je riešenie bezpečnosti už od úplného začiatku vývoja IS). Bezpečnostný projekt IS naplní všetky aplikovateľné požiadavky slovenskej legislatívy
a zohľadní zameranie vašej organizácie (výrobný podnik, finančná inštitúcia, orgán štátnej správy a pod.). Pri realizácii bezpečnostného projektu Gordias zohľadňuje napr. zákon č. 69/2018 Z.z. o kybernetickej bezpečnosti, zákon č. 95/2019 Z.z. o informačných technológiách verejnej správy či nariadenie GDPR a súvisiaci zákon č. 18/2018 Z.z. o ochrane osobných údajov. Ďalšími východiskami sú medzinárodne uznávané a Slovenskou republikou akceptované normy ISO/IEC 27001 až 27005 a metodika COBIT.
Bezpečnostný projekt IS tvorí sústava dokumentov:
• bezpečnostný zámer,
• analýza bezpečnosti,

Bezpečnostný zámer

určí základné priority a bezpečnostné ciele, ktoré je potrebné dosiahnuť na ochranu IS pred ohrozením jeho bezpečnosti. Obsahuje stručný popis IS, vymedzenie okolia IS a jeho vzťah k možnému narušeniu bezpečnosti. Bezpečnostný zámer tiež špecifikuje základné bezpečnostné opatrenia vo vzťahu k IS a jeho okoliu a vymedzí hranice určujúce množinu akceptovateľných zvyškových rizík.

Analýza bezpečnosti

podrobne preskúma možné ohrozenia bezpečnosti IS. Identifikuje aktíva IS (napríklad informácie uložené v IS, jeho služby, komponenty, znalosti používateľov či dobré meno spoločnosti) a ohodnotí ich dôležitosť. Využitím kvalitatívnej analýzy rizík identifikujeme hrozby pôsobiace na jednotlivé aktíva, spôsobilé narušiť ich bezpečnosť alebo funkčnosť. Rozsah možného rizika je následne určený ako kombinácia pravdepodobnosti realizácie hrozieb a následkov, ktoré by tak vznikli. K identifikovaným rizikám navrhneme bezpečnostné opatrenia slúžiace na elimináciu, resp. minimalizáciu identifikovaných rizík na prijateľnú úroveň.

Obsahová štruktúra analýzy bezpečnosti vychádza z okruhov bezpečnosti stanovených normou ISO/IEC 27002:
• Bezpečnostná politika IS,
• Organizácia bezpečnosti,
* Bezpečnosť ľudských zdrojov,
• Klasifikácia a riadenie aktív,
• Riadenie prístupu,
* Kryptografické opatrenia,
• Fyzická bezpečnosť a bezpečnosť prostredia,
• Riadenie prevádzky,
• Riadenie komunikácií,
• Nákup, vývoj a údržba IS,
* Bezpečnosť v spolupráci s tretími stranami,
• Zvládanie bezpečnostných incidentov,
• Riadenie kontinuity činností IS,
• Súlad s požiadavkami.
Gordias vypracoval počas svojho dlhoročného pôsobenia desiatky bezpečnostných projektov pre informačné systémy rôznej veľkosti a zamerania. Naše riešenia spĺňajú formálne požiadavky a zodpovedajú aj praktickým požiadavkám a potrebám organizácie. Overením správnosti nášho prístupu je spokojnosť našich zákazníkov, ale aj výborné výsledky kontrol zo strany dozorných orgánov (Úrad na ochranu osobných údajov SR, Ministerstvo financií SR) v organizáciách, pre ktoré sme spracovali bezpečnostný projekt IS.

V prípade, že bezpečnostný projekt IS máte spracovaný, ale potrebujete overiť reálny stav bezpečnosti IS, odporúčame využiť službu audit bezpečnosti. Ak potrebujete spracovať bezpečnostný projekt ochranu osobných údajov, odporúčame využiť službu ochrany osobných údajov a GDPR. Pre organizácie verejnej správy ponúkame navyše riešenie bezpečnosti ITVS a ISVS. V nadväznosti na bezpečnostný projekt IS vám vieme zaviesť riadenie kontinuity činností alebo zabezpečiť vykonanie penetračného testovania.