Stacks Image 7

Bezpečnostný projekt IS

Zaisťovať ochranu nehnuteľností, zariadení alebo tovaru je samozrejmosťou. Vstup do objektov stráži bezpečnostná služba a priestory sú monitorované bezpečnostnými kamerami. Existuje však aj iný typ bohatstva. Je nehmotné, a predsa ho možno nielen kúpiť či predať, ale aj zničiť alebo ukradnúť. Know-how, poznanie a informácie sú základným majetkom vašej organizácie v informačnej ére. Máte istotu, že informačné systémy, v ktorých sú uložené, sú dostatočne zabezpečené? Myslíte na riešenie bezpečnosti nových IS už počas ich vývoja a implementácie?
Gordias pre vás vypracuje komplexný bezpečnostný projekt IS presne na mieru vášho informačného systému. Jeho cieľom je minimalizácia hrozieb a rizík pôsobiacich na IS z hľadiska narušenia jeho bezpečnosti, spoľahlivosti a funkčnosti a ochrana dôvernosti, integrity a dostupnosti údajov a služieb IS. Vieme pokryť existujúci IS v prevádzke, ale aj IS v ktorejkoľvek fáze vývoja (ideálnym prípadom však je riešenie bezpečnosti už od úplného začiatku vývoja IS). Bezpečnostný projekt IS naplní všetky aplikovateľné požiadavky slovenskej legislatívy
a zohľadní zameranie vašej organizácie (výrobný podnik, finančná inštitúcia, orgán štátnej správy a pod.). Pri realizácii bezpečnostného projektu Gordias zohľadňuje zákon č. 122/2013 Z.z. o ochrane osobných údajov aj zákon č. 275/2006 Z.z. o informačných systémoch verejnej správy a s ním súvisiaci výnos č. 55/2014 Z.z. o štandardoch pre ISVS. Ďalšími východiskami sú medzinárodne uznávané a Slovenskou republikou akceptované normy ISO/IEC 27001 až 27005 a metodika COBIT.
Bezpečnostný projekt IS tvorí sústava dokumentov:
• bezpečnostný zámer,
• analýza bezpečnosti,
• závery vyplývajúce z bezpečnostného zámeru a analýzy bezpečnosti.

Bezpečnostný zámer

určí základné priority a bezpečnostné ciele, ktoré je potrebné dosiahnuť na ochranu IS pred ohrozením jeho bezpečnosti. Obsahuje stručný popis IS, vymedzenie okolia IS a jeho vzťah k možnému narušeniu bezpečnosti. Bezpečnostný zámer tiež špecifikuje základné bezpečnostné opatrenia vo vzťahu k IS a jeho okoliu a vymedzí hranice určujúce množinu akceptovateľných zvyškových rizík.

Závery vyplývajúce z bezpečnostného zámeru a analýzy bezpečnosti

upresňujú a aplikujú výsledky bezpečnostného projektu na konkrétne podmienky prevádzkovaného IS. Touto formou stanovíme a zdokumentujeme pravidlá bezpečnosti IS a využívanie navrhnutých / implementovaných bezpečnostných opatrení. V rámci bezpečnostných smerníc sú stanovené aj kompetencie vo vzťahu k bezpečnosti IS a informácie k výkonu kontrolných činností.

Analýza bezpečnosti

podrobne preskúma možné ohrozenia bezpečnosti IS. Identifikuje aktíva IS (napríklad informácie uložené v IS, jeho služby, komponenty, znalosti používateľov či dobré meno spoločnosti) a ohodnotí ich dôležitosť. Využitím kvalitatívnej analýzy rizík identifikujeme hrozby pôsobiace na jednotlivé aktíva, spôsobilé narušiť ich bezpečnosť alebo funkčnosť. Rozsah možného rizika je následne určený ako kombinácia pravdepodobnosti realizácie hrozieb a následkov, ktoré by tak vznikli. K identifikovaným rizikám navrhneme bezpečnostné opatrenia slúžiace na elimináciu, resp. minimalizáciu identifikovaných rizík na prijateľnú úroveň.

Obsahová štruktúra analýzy bezpečnosti vychádza z okruhov bezpečnosti stanovených normou ISO/IEC 27002:
• Bezpečnostná politika IS,
• Organizácia bezpečnosti,
* Bezpečnosť ľudských zdrojov,
• Klasifikácia a riadenie aktív,
• Riadenie prístupu,
* Kryptografické opatrenia,
• Fyzická bezpečnosť a bezpečnosť prostredia,
• Riadenie prevádzky,
• Riadenie komunikácií,
• Nákup, vývoj a údržba IS,
* Bezpečnosť v spolupráci s tretími stranami,
• Zvládanie bezpečnostných incidentov,
• Riadenie kontinuity činností IS,
• Súlad s požiadavkami.
Gordias vypracoval počas svojho dlhoročného pôsobenia desiatky bezpečnostných projektov pre informačné systémy rôznej veľkosti a zamerania. Naše riešenia spĺňajú formálne požiadavky a zodpovedajú aj praktickým požiadavkám a potrebám organizácie. Overením správnosti nášho prístupu je spokojnosť našich zákazníkov, ale aj výborné výsledky kontrol zo strany dozorných orgánov (Úrad na ochranu osobných údajov SR, Ministerstvo financií SR) v organizáciách, pre ktoré sme spracovali bezpečnostný projekt IS.

V prípade, že bezpečnostný projekt IS máte spracovaný, ale potrebujete overiť reálny stav bezpečnosti IS, odporúčame využiť službu audit bezpečnosti. Ak potrebujete spracovať bezpečnostný projekt pre všetky IS vašej organizácie, poskytujeme možnosť komplexného riešenia ochrany osobných údajov. Pre organizácie verejnej správy ponúkame navyše riešenie bezpečnosti informačných systémov verejnej správy. V nadväznosti na bezpečnostný projekt IS vám vieme vypracovať bezpečnostnú dokumentáciu, zaviesť riadenie kontinuity činností alebo vykonať penetračné testovanie.