Bezpečnostný projekt IS
Know-how, poznanie a informácie sú základným majetkom vašej organizácie v informačnej ére. Máte istotu, že informačné systémy, v ktorých sú uložené, sú dostatočne zabezpečené? Myslíte na riešenie bezpečnosti nových IS už počas ich vývoja a implementácie?
Gordias pre vás vypracuje komplexný bezpečnostný projekt IS presne na mieru vášho informačného systému. Jeho cieľom je minimalizácia hrozieb a rizík pôsobiacich na IS z hľadiska narušenia jeho bezpečnosti, spoľahlivosti a funkčnosti a ochrana dôvernosti, integrity a dostupnosti údajov a služieb IS. Vieme pokryť existujúci IS v prevádzke, ale aj IS v ktorejkoľvek fáze vývoja (ideálnym prípadom však je riešenie bezpečnosti už od úplného začiatku vývoja IS). Bezpečnostný projekt IS naplní všetky aplikovateľné požiadavky slovenskej legislatívy a zohľadní zameranie vašej organizácie (výrobný podnik, finančná inštitúcia, orgán štátnej správy a pod.).
Pri realizácii bezpečnostného projektu Gordias zohľadňuje najmä zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a súvisiacu vyhlášku č. 362/2018, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení, zákon č. 95/2019 Z. z. o informačných technológiách verejnej správy a súvisiacu vyhlášku č. 179/2020, ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení ITVS, nariadenie GDPR a súvisiaci zákon č. 18/2018 Z. z. o ochrane osobných údajov. Ďalšími východiskami sú medzinárodne uznávané a Slovenskou republikou akceptované normy ISO/IEC 27001 až 27005 a metodika COBIT.
Bezpečnostný projekt IS tvorí sústava dokumentov, ktorá je obsahovo v súlade s požiadavkami vyhlášky č. 179/2020, ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení ITVS:
Bezpečnostný projekt IS tvorí sústava dokumentov, ktorá je obsahovo v súlade s požiadavkami vyhlášky č. 179/2020, ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení ITVS:
- bezpečnostný zámer,
- analýza bezpečnosti.
Bezpečnostný zámer
určí základné priority a bezpečnostné ciele, ktoré je potrebné dosiahnuť na ochranu IS a jeho aktív. Obsahuje stručný popis systému, vymedzenie jeho okolia a vzťah k možnému narušeniu bezpečnosti. Bezpečnostný zámer tiež špecifikuje základné bezpečnostné opatrenia vo vzťahu k IS a jeho okoliu a vymedzuje hranice určujúce množinu akceptovateľných zvyškových rizík.Analýza bezpečnosti
podrobne preskúma možné ohrozenia bezpečnosti IS. Identifikuje aktíva IS (napríklad informácie uložené v IS, jeho služby, komponenty, znalosti používateľov či dobré meno spoločnosti) a ohodnotí ich dôležitosť. Využitím kvalitatívnej analýzy rizík identifikujeme hrozby a zraniteľnosti pôsobiace na jednotlivé aktíva, spôsobilé narušiť ich bezpečnosť alebo funkčnosť. Rozsah možného rizika je následne určený ako kombinácia pravdepodobnosti realizácie hrozieb a následkov, ktoré by tak vznikli. K identifikovaným rizikám navrhneme bezpečnostné opatrenia slúžiace na elimináciu, resp. minimalizáciu identifikovaných rizík na prijateľnú úroveň.
Obsahová štruktúra analýzy bezpečnosti vychádza spravidla z okruhov bezpečnosti stanovených normou ISO/IEC 27002:
- Bezpečnostná politika IS,
- Organizácia bezpečnosti,
- Bezpečnosť ľudských zdrojov,
- Klasifikácia a riadenie aktív,
- Riadenie prístupu,
- Kryptografické opatrenia,
- Fyzická bezpečnosť a bezpečnosť prostredia,
- Riadenie prevádzky,
- Riadenie komunikácií,
- Nákup, vývoj a údržba IS,
- Bezpečnosť v spolupráci s tretími stranami,
- Zvládanie bezpečnostných incidentov,
- Riadenie kontinuity činností IS,
- Súlad s požiadavkami.
Gordias vypracoval počas svojho dlhoročného pôsobenia desiatky bezpečnostných projektov pre informačné systémy rôznej veľkosti a zamerania. Naše riešenia spĺňajú formálne požiadavky a zodpovedajú aj praktickým požiadavkám a potrebám organizácie. Overením správnosti nášho prístupu je spokojnosť našich zákazníkov, ale aj výborné výsledky kontrol zo strany dozorných orgánov (Úrad na ochranu osobných údajov SR, Ministerstvo financií SR) v organizáciách, pre ktoré sme spracovali bezpečnostný projekt IS.
V prípade, že bezpečnostný projekt IS máte spracovaný, ale potrebujete overiť reálny stav bezpečnosti IS, odporúčame využiť službu audit bezpečnosti IS. Ak potrebujete spracovať bezpečnostný projekt na ochranu osobných údajov, odporúčame využiť službu ochrany osobných údajov a GDPR. Pre organizácie verejnej správy ponúkame navyše riešenie bezpečnosti ITVS a ISVS. V nadväznosti na bezpečnostný projekt IS vám vieme zaviesť riadenie kontinuity činností alebo zabezpečiť vykonanie penetračného testovania.