BEZPEČNOST INFORMAČNÍCH SYSTÉMŮ

Transkript

1 ISSR Znalostní softwarová aplikace management incidentů rizik interní audity - postupy analýza rizik databáze IS, oprávněných osob víceúrovňový přístup, vzory bezpečnostní dokumentace jednoduché intuitivní ovládání slovenská, česká a anglická verze možnost vytváření tiskových sestav BEZPEČNOST INFORMAČNÍCH SYSTÉMŮ 1. modul ochrana osobních údajů (podle ustanovení zákona č. 101/2000) 2. modul informační bezpečnost (podle metodiky ISO/IEC 27000, zákona č. 365/2000) CHRÁNÍME VAŠE AKTIVA Podpůrné moduly: audity struktura organizace legislativa Další volitelné moduly: systém řízení kvality ISO 9001 systém řízení environmentálního managementu ISO bezpečnost a ochrana zdraví při práci OHSAS ISO Kladete si následující otázky: Co je to vlastně informační bezpečnost nebo účinná ochrana osobních údajů, jak ji implementovat v podmínkách naší firmy? Je ochrana osobních údajů součástí informační bezpečnosti nebo jen autonomní výmysl na šikanu provozovatelů a příležitost pro právníky? Vztahuje se na nás nová legislativa, musíme mít i u nás vypracované směrnice a projekt, máme mít odpovědnou osobu se zkouškou na Úřadě, provést registraci nebo nemusíme přijímat žádná opatření? Jak účinně ochráníme osobní údaje fyzických osob, aktiva naší firmy? Jakým způsobem předcházet bezpečnostním incidentům, sankcím ze strany kontrolních orgánů, jak zautomatizovat a zjednodušit celý systém ochrany majetku a osobních údajů? Postačuje přijmout ochranná opatření pouze formálně? Jsou námi přijatá opatření dostatečná, nehrozí mi sankce v případě oprávněnosti podání dotčené osoby? Co je to zbytkové riziko? Mám správně identifikovány všechny informační systémy, co jsou to aktiva, analýza rizik? Pomůžeme Vám s odpověďmi. Jedním z účinných nástrojů je používání znalostního softwaru ISSR, který Vás provede světem informační bezpečnosti a pomůže nastavit a dlouhodobě provozovat funkční systém ochrany osobních údajů a informační bezpečnosti v souladu s legislativou platnou pro povinné osoby. 1

2 CHRÁNÍME VAŠE AKTIVA ISSR pro bezpečnost informačních systémů je: znalostní aplikace, s lokalizací ve slovenském, českém a anglickém jazyce, aplikace je vytvořena auditory informační bezpečnosti na základě praktických zkušeností při řízení informační bezpečnosti a ochrany osobních údajů, včetně tvorby a udržování bezpečnostní dokumentace v organizacích, s pomocí znalostí obsažených v mezinárodních standardech a metodikách ISO/IEC, nástrojů řízení informační bezpečnosti, zákonů a metodik národní legislativy. ISSR a legislativa: právní rámec v České republice je definován zákonem o ochraně osobních údajů č. 101/2000 a zákonem o informačních systémech veřejné správy č. 365/2000 Z.z. ve znění pozdějších předpisů a metodik a výnosů včetně standardů ISVS podpůrně metodikami mezinárodních norem a standardů řízení informační bezpečnosti ISO IEC Organizace (provozovatel), která zpracovává osobní údaje, má ve smyslu platné legislativy povinnost přijmout vhodná technická, organizační a personální opatření k zajištění důvěrnosti, dostupnosti a integrity zpracovávaných osobních údajů (dále jen OÚ). Odůvodnění je uvedeno v 19 zákona č. 122/2013 Sb. v Slovenské republice, resp. 13 zákona č. 101/2000 Sb. v České republice. Příslušná legislativa také ukládá organizacím zabývat se celkově problematikou informační bezpečnosti, tedy ne pouze z pohledu ochrany OÚ. To znamená, že požadavky je třeba aplikovat na všechna aktiva organizace, ne jen na ta, která se týkají OÚ. Jde o celou řadu právních předpisů, opatření a metodických pokynů, zejména však o zákon č. 275/2006 Z.z. o informačních systémech veřejné správy v SR a v ČR zákon č. 181/2014 Sb. o kybernetické bezpečnosti. Legislativa se v této oblasti pravidelně mění vyhláškami a opatřeními, přičemž kopíruje změny v oblasti kybernetické bezpečnosti. I z důvodu těchto aktualizací je výhodné pro řízení takového složitého systému používat právě automatizovaný software s garantovaným update. Pro koho je aplikace určená: - pro povinné osoby dle platné národní legislativy - pro všechny organizace, které řídí bezpečnost informačních systémů a ochranu osobních údajů - manažery a statutáře firem, manažery IB, odpovědné a oprávněné osoby podle zákona č. 101/2000 o ochraně osobních údajů, auditorů, odborníků z oblasti IB. Je zcela zřejmé, že na procesu řízení IB a OOÚ se neúčastní pouze určité vybrané specifické osoby v organizaci, ale že se řízení musí povinně účastnit všichni zaměstnanci organizace. Aby byly tedy do důsledků naplněny legislativní požadavky kladené na povinné osoby, systém řízení ochrany osobních údajů a kybernetické bezpečnosti byl plně funkční a aktivní, minimalizoval vznik bezpečnostních incidentů, udržovala se dostatečná úroveň bezpečnostního povědomí zaměstnanců organizace, je logickým vyústěním konstatování, že plnohodnotný přístup k aplikaci ISSR by měli mít všichni zaměstnanci organizace (plné licenční pokrytí). Modul ochrana osobních údajů Co obsahuje? Kompletní automatizovanou správu řízení ochrany osobních údajů v organizaci, podle ustanovení zákona č. 101 / 2000, ve znění metodik a výnosů Úřadu pro ochranu osobních údajů. Ideální pomocník pro odpovědnou osobu a oprávněné osoby v organizaci, která ve svých informačních systémech zpracovává osobní údaje fyzických osob. Výhody modulu: Pokud používáte tento modul, nemůžete při ochraně osobních údajů opomenout žádnou z podmínek platné legislativy a navíc - v systému udržujete aktualizované informace v přehledných databázích. Máte po ruce kompletní přehledy o stavu ochrany OÚ, máte informovány oprávněné osoby - vhodné pro vstupní interní školení, předcházíte bezpečnostním incidentům i oprávněnosti stížností dotčených osob a stejně sankcím ze strany kontrolní osoby - výrazně tedy šetří Váš čas a náklady na řešení bezpečnostních incidentů. Obsah jednotlivých kapitol: Kapitola Vzory dokumentace ochrany osobních údajů - obsahuje vzory vší požadované bezpečnostní dokumentace - projekt, směrnice, pověření oprávněných osob, prohlášení o souhlasu a i Kapitola Politika ochrany osobních údajů - obsahuje prohlášení politiky ochrany osobních údajů v organizaci. Kapitola Evidence informačních systémů - vede všechny zákonem požadované prvky ochrany osobních údajů: informace o jednotlivých informačních systémech (IS) provozovatele. Ke každému IS vede informace požadované ze zákona - označení, účel zpracovávání, právní základ, okruh dotčených osob, datum začátku zpracovávání IS, dále vede údaje o rozsahu osobních údajů zpracovávaných v konkrétním IS, seznam zpracovávaných osobních dokladů, aktuální seznamy oprávněných osob pověřených zpracováním OÚ v konkrétním IS, seznam odpovědných osob, seznamy prostředků zpracovávání, fyzické umístění IS, seznam zprostředkovatelů k jednotlivým IS, informace o dodávání, 2

3 poskytování, zveřejňování a předávání osobních údajů do třetích zemí, údaje o provozovateli IS, vlastnosti IS (evidence, registrace, zvláštní registrace, stupeň a popis zabezpečení IS). Kapitola Bezpečnostní projekt (Analýza rizik) - vede bezpečnostní dokumentaci - dokument bezpečnostní projekt. Součástí je historie a aktuálnost bezpečnostního projektu - umožňuje řízený přístup k dokumentu. Kapitola Bezpečnostní směrnice - vede bezpečnostní dokumentaci - bezpečnostní směrnice. Umožňuje řízený přístup. Kapitola Seznam oprávněných a odpovědných osob - vede databázi oprávněných a odpovědných osob pro jednotlivé IS. Kapitola Poučení oprávněných osob - vede bezpečnostní dokumentaci - seznam poučení oprávněných osob - zaměstnanců provozovatele. Součástí je záznam o proškolení oprávněné osoby. Kapitola Incidenty ochrany osobních údajů - vede kompletní management bezpečnostních incidentů (požadovaný legislativou) od nahlášení oprávněnou osobou, popis incidentu, data vzniku, záznamu, text záznamu - popis nápravy - všechny události spojené s incidentem. Kapitola Záznamy činností - vede podpůrnou evidenci - záznamy činností při ochraně OÚ. Výhody implementace softwaru ISSR v modulu ochrana osobních údajů u provozovatele: Softwarová aplikace ISSR Vám v případě modulu ochrana osobních údajů poskytne plný komfort řízení systému ochrany aktiv - osobních údajů fyzických osob - a to zejména: přehledností prvků řízení s detailizací podle ustanovení platné národní legislativy zautomatizováním činností souvisejících s ochranou osobních údajů logickým uspořádáním a víceúrovňovým přístupem, vyhledává v databázích, zobrazuje historii dokumentů (odpovědná osoba na úrovni administrátora, oprávněné osoby - uživatelé) obsahuje podpůrnou vzorovou dokumentaci managementem bezpečnostních incidentů (podmínka požadovaná novou legislativou) databázemi s aktualizovanými údaji v reálném čase (požadované zákonem i normami) zrychlením, zpřehledněním práce na denní bázi v organizacích, při změnách fyzického okolí IS, změnách v IS, i při personálních změnách oprávněných osob napomáhá plnit podmínky dostupnosti, důvěrnosti a integrity zpracovávaných osobních údajů jako jednoho z organizačních opatření Vaší organizace aplikace slouží i jako výborná pomůcka pro odpovědnou osobu při komunikaci s Úřadem na ochranu osobních údajů, při řešení bezpečnostních incidentů a zároveň při denní práci výkonu dohledu nad ochranou osobních údajů, při interních školeních oprávněných osob, při výkonu interních auditů, rovněž při vstupních školeních nových zaměstnanců, kteří budou pověřeni činností jako oprávněné osoby a poskytuje mnoho dalších výhod. 3

4 Proč řídit bezpečnost informačních systémů prostřednictvím znalostní aplikace? Základní otázka zní, proč je třeba nasadit sofistikovanou aplikaci pro řízení informační bezpečnosti v organizaci, proč nestačí jen běžné zpracování agendy vznikající v souvislosti s řízením IB pomocí různých dokumentů vydávaných, udržovaných a revidovaných běžným způsobem? Co přinese nasazení takové aplikace? Na otázku proč, lze odpovědět i protiotázkou: Proč se na zpracování účetní agendy používá sofistikovaný software? No protože zpracování pomocí softwaru přineslo novou kvalitu, vyšší úroveň zpracování a v konečném důsledku i vyšší produktivitu práce, větší přehlednost a pružnost při přístupu k výstupům z účetní agendy. Modul informační bezpečnost (zákon č. 365/2000, ISO/IEC 27000) Kompletní správa systému řízení informační bezpečnosti management incidentů, rizik interní audity - postupy analýza rizik databáze prvků IB víceúrovňový přístup Jak to souvisí s řízením IB? Problematika řízení IB je mnohem složitější než vedení účetní agendy. Takže nasazení vhodné aplikace pro řízení IB musí přinést benefity v podobě vyšší kvality a efektivity práce zaměstnanců. 4

5 CHRÁNÍME VAŠE AKTIVA Když se podíváme detailněji na problematiku řízení IB zjistíme, že solidní řídící systém s sebou přináší množství práce, která vyžaduje vedení množství dokumentace a různých záznamů. Jen samotný management rizik vyžaduje vedení seznamů aktiv, hrozeb, zranitelností, dopadů, rizik, ochranných opatření atd O každém prvku je třeba vést určitý druh informací, jednotlivé prvky jsou mezi sebou provázány a tyto informace je třeba neustále revidovat a aktualizovat. Jednotlivé prvky IB jsou hodnoceny a na hodnocení se podílí množství zaměstnanců. Jejich postupy musí být zdokumentovány a prokazatelně verifikovány. Udržovat takový systém bez nějakého sofistikovaného nástroje je těžko představitelné. Co tedy přináší aplikace na řízení IB: Správa dokumentace vznikající v souvislosti s řízením IB (jsou to různé dokumenty jako politika, manuály, směrnice, příkazy, procesy ). Aplikace vede databázi těchto dokumentů a spravuje přístup k nim. Eviduje historii dokumentu, jeho aktuálnost, jednoznačně identifikuje vlastníka dokumentu, který odpovídá za aktuálnost a platnost daného dokumentu. Dokumenty jsou ve standardním formátu MS WORD. Rozsah aplikace ISSR v modulu informační bezpečnost: Správa, údržba a vedení databází prvků IB (Seznamy aktiv, zranitelností, hrozeb, rizik, seznam dopadů, seznam ochranných opatření.) Každý seznam obsahuje informace potřebné k zajištění řízení rizik. Všechny prvky IB lze ohodnocovat. Na ohodnocování jednotlivých prvků se v aplikaci definují pro každý prvek kritéria hodnocení, rozsahy hodnocení a váhy jednotlivých kritérií při hodnocení daného prvku. Správa a údržba dokumentů projektu informační bezpečnosti ve smyslu platné legislativy a mezinárodních standardů (Vede seznam aktuálně platných dokumentů vyžadovaných projektem IB, řízení revize a aktualizace dokumentů projektu IB: politika IB, manuály IB směrnice IB.) Správa a údržba dokumentace procesů projektu IB (Procesy návrhu, implementace, provozování, monitorování, přezkoumávání, udržování a zlepšování.) Management provozních záznamů vyžadován projektem IB (Vede databázi záznamů k jednotlivým operacím, o nichž se vyžaduje záznam.) Databáze záznamů musí obsahovat minimálně informace o tom, jaké operace se tyká, kdy byl záznam proveden, kdo záznam provedl. Management rizik, správa a údržba analýz rizik, ANALÝZA RI- ZIK (Zabezpečení systému hodnocení aktiv, zranitelností, hrozeb, dopadů a vyhodnocování úrovně rizika.) Vedení a správa informace o stavu rizik (identifikované, zbytkové, nepokryté ). Management řízení přístupů k aktivům (Systém evidence požadavků na udělení a zrušení přístupu, vedení záznamů o procesu schvalování přístupu a o procesu jeho realizace, systém monitorování a revize přístupových práv k aktivům.) Management incidentů a komplexní správa databáze incidentů (Systém sběru informací o incidentech IB, vedení jejich seznamu, řízení procesu správy incidentů a reakcí na vznikající incidenty ve smyslu požadavků projektu IB.) V souvislosti s prováděním směrnice Evropského parlamentu a Rady 2009 / 140ES článku 13a 13b přebrala Slovenská republika do zákona č. 351/2001 Z.z. o elektronických komunikacích požadavky, které se týkají integrity a bezpečnosti sítí a služeb spojených s povinností ohlašování bezpečnostních incidentů včetně Opatření TÚSR č. O-30/2012 z V České republice je tato problematika definována v 5 písmeno h a 7 zákona č. 181/2014 Sb. o kybernetické bezpečnosti a ustanoveních o kybernetické bezpečnostní události a kybernetickém bezpečnostním incidentu. Management řízení kontinuity procesů (Vedení seznamu havarijních plánů a plánů obnovy kontinuity činnosti, jejich údržba a aktualizace ve smyslu požadavků projektu IB.) 5

6 CHRÁNÍME VAŠE AKTIVA Modul STRUKTURA ORGANIZACE Modul Struktura organizace vede přehledy o vnitřním uspořádání a struktuře organizace. Tento modul umožňuje spravovat čtyři základní dokumenty definující strukturu organizace. Organizační schéma, mapa procesů, mapa logického uspořádání infrastruktury a mapa fyzického uspořádání infrastruktury. Modul LEGISLATIVA Modul Legislatíva obsahuje kompletní přehled národní legislativy a mezinárodních standardů v oblasti ochrany osobních údajů a informační bezpečnosti. Modul spravuje přístup k dokumentům, jako jsou národní legislativa a mezinárodní standardy. 6

7 Všeobecné informace o ISSR: Aplikace ISSR je znalostní aplikace a zároveň bezpečnostní software, který může obsahovat citlivé údaje provozovatele. Z toho důvodu není integrovatelný s obecně dostupnými aplikacemi, avšak umožňuje přenos vstupních dat z jiných databází provozovatele (např. při řízení přístupu nebo struktuře organizace). Disponuje víceúrovňovým přístupem. ISSR je softwarový produkt naší společnosti, je modifikovatelný pro jakoukoli společnost, licenční pokrytí je od jedné plnohodnotné licence pro odpovědnou osobu v menších organizacích, až po licenční pokrytí pro každou oprávněnou osobu, resp. každého uživatele, s licenční politikou připravenou na míru konkrétní organizaci. ISSR je určena výhradně pro koncové uživatele. ISSR je modulový systém, rozšiřuje se podle potřeb každé organizace, která zavádí nebo provozuje i jiné systémy řízení (systém řízení kvality, environmentu, bezpečnosti a ochrany zdraví při práci). Software ISSR je pod nepřetržitým dohledem autorů aplikace - manažerů informační bezpečnosti, auditorů informační bezpečnosti a ochrany osobních údajů, je zajištěna trvalá kontrola aplikace a její soulad s platnou legislativou a standardy. Rozsah 1 licence ISSR: Moduly: Ochrana osobních údajů + informační bezpečnost + audit + struktura organizace + legislativa Ve standardní ceně licence není zahrnuto: školení, instalace a naplňování databází aplikace daty Ve standardní ceně licence je zahrnut: 1 roční update ode dne instalace a podpora Upgrade (aktualizace) volitelná služba: Po jednom roku je cena upgrade max. 15 % z pořizovací ceny produktu. Podpůrné služby: bezplatné poradenské služby na Service DESKu společnosti Placené služby: Inštalácia, individuálne servisné zásahy, poradenstvo k problematike vrátane bezpečnostnej dokumentácie, služby audítora, naplnenie databáz údajmi z existujúcej dokumentácie spoločnosti. Doplňkové služby (v oblasti ochrany osobních údajů a IB): individuální školení pro oprávněné a odpovědné osoby, pro manažery IB audity stavu řízení ochrany osobních údajů a informační bezpečnosti vypracování bezpečnostní dokumentace (Projekt na ochranu osobních údajů + směrnice + ochranná opatření, Projekt informační bezpečnosti, doplňující dokumentace) zpracování analýzy rizik budování účinného systému řízení informační bezpečnosti budování účinného systému ochrany osobních údajů revize stavu řízení prostřednictvím kontrolních auditů odborná podpora pro zodpovědné osoby, manažery IB u povinných osob před kontrolními orgány 7

8 BEZPEČNOST INFORMAČNÍCH SYSTÉMŮ Objednávky, konzultace: Datasoft Consulting s. r. o. autor aplikace ISSR jsme členy ISACA - mezinárodního sdružení IT profesionálů a auditorů informační bezpečnosti realizujeme audity, vypracováváme projekty, směrnice a organizujeme školení, máme více než referencí na problematiku informační bezpečnosti a ochranu OÚ se specializujeme od roku 2006 Kontaktní údaje Slovenská republika: Datasoft Consulting s.r.o. Baračka 85 Trenčianske Teplice IČO: , IČo DPH: SK OS TN, odd. Sro, vložka č /R audit@datasoftconsulting.sk tel /910/ Kontaktní údaje Česká republika: Datasoft Consulting Czech s.r.o. Platnéřská 90/13 Praha 1 Staré Město IČO: , DIČ: CZ Městský soud v Praze, odd. C, vložka issr@issr.cz tel /731/