Bezpečnostní politika a dokumentace

Transkript

1

2 Bezpečnostní politika a dokumentace Ing. Dominik Marek Kraj Vysočina

3 Kraj Vysočina správce VIS dle zákona č. 181/2014 o kybernetické bezpečnosti VIS (zatím) Webový portál (Webové stránky kraje) Elektronický poštovní systém GINIS-spisová služba GINIS-ekonomické moduly certifikovaný ISMS dle ČSN ISO/IEC 27001:2014, který zahrnuje: všechny procesy KrÚ všechna pracoviště a všechny IS

4 Bezpečnostní politika a dokumentace vyhláška o kybernetické bezpečnosti stanovena struktura a obsah politik i dokumentace příloha č. 5

5 Mix bezpečnostních politik Politika systému řízení bezpečnosti informací Politika řízení aktiv Politika organizační bezpečnosti Politika řízení dodavatelů Politika bezpečnosti lidských zdrojů Politika řízení provozu a komunikací Politika řízení přístupu Politika bezpečného chování uživatelů Politika zálohování a obnovy a dlouhodobého ukládání Politika bezpečného předávání a výměny informací Politika řízení technických zranitelností Politika bezpečného používání mobilních zařízení Politika akvizice, vývoje a údržby Politika ochrany osobních údajů Politika fyzické bezpečnosti Politika bezpečnosti komunikační sítě Politika ochrany před škodlivým kódem Politika nasazení a používání nástroje pro detekci kybernetických bezpečnostních událostí Politika využití a údržby nástroje pro sběr a vyhodnocení kybernetických bezpečnostních událostí Politika bezpečného používání kryptografické ochrany Politika řízení změn Politika zvládání kybernetických bezpečnostních incidentů Politika řízení kontinuity činností

6 Mix bezpečnostních politik... Politika systému řízení bezpečnosti informací Politika řízení aktiv Politika organizační bezpečnosti Politika řízení dodavatelů A co ta dokumentace? Politika bezpečnosti lidských zdrojů Politika řízení provozu a komunikací Politika řízení přístupu Politika bezpečného chování uživatelů Politika zálohování a obnovy a dlouhodobého ukládání Politika bezpečného předávání a výměny informací Politika řízení technických zranitelností Politika bezpečného používání mobilních zařízení Politika akvizice, vývoje a údržby Politika ochrany osobních údajů Politika fyzické bezpečnosti Politika bezpečnosti komunikační sítě Politika ochrany před škodlivým kódem Politika nasazení a používání nástroje pro detekci kybernetických bezpečnostních událostí Politika využití a údržby nástroje pro sběr a vyhodnocení kybernetických bezpečnostních událostí Politika bezpečného používání kryptografické ochrany Politika řízení změn Politika zvládání kybernetických bezpečnostních incidentů Politika řízení kontinuity činností

7 Politika řízení aktiv Co jsou informační aktiva? Vše, co má pro nás cenu a nějakým způsobem souvisí s ICT

8

9 Politika řízení aktiv Co jsou informační aktiva? proces identifikace aktiv nově pořizovaná aktiva Evidence aktiv členění - primární a podpůrná určení zodpovědnosti za aktiva (garant, tech. správce) určení vazeb mezi aktivy (závislosti, datové přenosy) Ochrana aktiv dle jejich důležitosti = hodnocení aktiv kategorizace

10 Politika bezpečnosti lidských zdrojů Důležitost bezpečnosti lidských zdrojů/uživatelů IT pracovník: 90 % chyb se stane mezi klávesnicí a židlí Útočník: Amatéři hackují systémy, profíci hackují uživatele Pravidla rozvoje bezpečnostního povědomí jak uživatelé, tak zaměstnanci s bezpečnostními rolemi Bezpečnostní školení nových zaměstnanců Pravidla pro ukončení pracovního vztahu nebo změnu pracovní pozice

11 Politika bezpečného chování uživatelů Pravidla pro bezpečné nakládání s aktivy. Bezpečné použití přístupového hesla. Bezpečné použití elektronické pošty a přístupu na internet. Bezpečný vzdálený přístup. Bezpečnost ve vztahu k mobilním zařízením.

12 Politika řízení přístupů Klíčová oblast řešící přístupová oprávnění KDO?, KAM?, K ČEMU?, ZA JAKÝCH PODMÍNEK? Gotta Catch 'Em All Proces přidělování/odebírání oprávnění životní cyklus požadavky na řízení oprávnění zahrnuje i privilegovaná oprávnění Pravidelné přezkoumání přístupových oprávnění centrální konsolidovaná DB všech oprávnění

13 Politika zálohování a obnovy a dlouhodobého ukládání Lidé se dělí na 2 skupiny: ti, co zatím nepřišli o data ti, co pravidelně zálohují Ransomware Obsah politiky: Požadavky na zálohování a obnovu. Pravidla a postupy zálohování (a dlouhodobého ukládání). Pravidla bezpečného zálohování (a dlouhodobého ukládání). Pravidla a postupy obnovy. Pravidla a postupy testování zálohování a obnovy. Politika přístupu k zálohám, ukládaným informacím.

14 Děkuji za pozornost. Dominik Marek Odbor analýz a podpory řízení Krajský úřad Kraje Vysočina Marek.Dominik@kr-vysocina.cz