BEZPEČNOSTNÍ POLITIKY V ORGANIZACÍCH. Security policy in organizations

Podobné dokumenty
Bezpečnostní politika společnosti synlab czech s.r.o.

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

GLOSÁŘ POJMŮ 1. Glosář pojmů_2.část Příručky

Bezpečností politiky a pravidla

Bezpečnostní politika společnosti synlab czech s.r.o.

ODEMČENÉ DVEŘE PRŮZKUM UKAZUJE, ŽE TISKÁRNY ČASTO BÝVAJÍ NEZABEZPEČENÉ PROTI KYBERNETICKÝM ÚTOKŮM

Návrh aktualizace rámce COSO vymezení ŘKS 2. setkání interních auditorů z finančních institucí

ETICKY KODEX zaměstnanců společnosti PORS software a.s.

Bezpečnostní politika společnosti synlab czech s.r.o.

Bezepečnost IS v organizaci

ISA 610 POSUZOVÁNÍ PRÁCE INTERNÍHO AUDITU. (Platí pro audity účetních závěrek sestavených za období počínající 15.prosince 2004 nebo po tomto datu)

Politika bezpečnosti informací

Obecné nařízení o ochraně osobních údajů

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Informace o zpracování osobních údajů a poučení o právech subjektu údajů. Informační memorandum Městská policie Sedlčany

Vnitřní kontrolní systém a jeho audit

Věstník ČNB částka 20/2002 ze dne 19. prosince 2002

Statutární město Brno, městská část Brno-střed INFORMAČNÍ KONCEPCE

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ SPOLEČNOST RADIUM S.R.O.

Proč ochrana dat a informací není běžnou součástí každodenního života? Martin HANZAL SODATSW spol. s r.o.

Informační memorandum CHEIRÓN a.s., se sídlem Ulrychova 13, Praha 6, (dále jen Správce OÚ)

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

ČESKÁ TECHNICKÁ NORMA

Smluvní podmínky pro ochranu osobních údajů dodavatelem společnosti JUST CS (dále jen Smluvní podmínky nebo SP )

Metodické pokyny ke zpracovatelským smlouvám

DOPORUČENÍ NÚKIB. k ustanovení 10a zákona o kybernetické bezpečnosti a utajení informací podle zákona o ochraně utajovaných informací

Implementace ZKB. Ing. Miroslav Jaroš. Energetický regulační úřad.

Úvodní přednáška. Význam a historie PIS

Ochrana osobních údajů a kybernetická bezpečnost v roce Ing. Michal Hager

Organizační opatření, řízení přístupu k informacím

PROVÁDĚCÍ PŘEDPIS. Manuál kvality dodavatele. Číslo PP 01/19 Vydání 1. Náhrada předchozích prováděcích předpisů Úvodní ustanovení

Technická a organizační opatření pro ochranu údajů

Problémové domény a jejich charakteristiky

Metodický pokyn pro akreditaci

Management rizika Bc. Ing. Karina Mužáková, Ph.D. BIVŠ,

MEZINÁRODNÍ AUDITORSKÝ STANDARD ISA 610 VYUŽITÍ PRÁCE INTERNÍCH AUDITORŮ

Povinné zásady leden Kodex informační bezpečnosti pro dodavatele Nestlé

PŘÍLOHY NAŘÍZENÍ KOMISE V PŘENESENÉ PRAVOMOCI (EU)

V Brně dne a

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

VNITŘNÍ PŘEDPIS SMĚRNICE PRO OCHRANU OSOBNÍCH ÚDAJŮ

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok

V Brně dne 10. a

ZPRÁVA. o ověření roční účetní závěrky Evropského úřadu pro bezpečnost potravin za rozpočtový rok 2015, spolu s odpovědí úřadu (2016/C 449/18)

Šachy interního auditu ve víru legislativních změn Workshop pro veřejnou správu. Novinky v IPPF

POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ

EnCor Wealth Management s.r.o.

Výbor pro životní prostředí, veřejné zdraví a bezpečnost potravin

Zpráva o ověření roční účetní závěrky Evropské agentury pro námořní bezpečnost za rozpočtový rok 2015

GDPR compliance v Cloudu. Jiří Černý CELA

Název zásad: CCTV Datum platnosti: Číslo revize: 1.1. Číslo revize Datum Popis změny Revizi provedl:

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

DŮVODOVÁ ZPRÁVA. Jednání Zastupitelstva městské části Praha Zbraslav. číslo: 20 Dne: Zpracovatel: OKT

ISA 402 ZVAŽOVANÉ SKUTEČNOSTI TÝKAJÍCÍ SE SUBJEKTŮ VYUŽÍVAJÍCÍCH SLUŽEB SERVISNÍCH ORGANIZACÍ

Věstník ČNB částka 18/2010 ze dne 21. prosince ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010

Politika ochrany osobních údajů

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

ISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA

Článek 1. Předmět a oblast působnosti

PROVÁDĚCÍ ROZHODNUTÍ KOMISE (EU) / ze dne

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

ZPRÁVA. o ověření roční účetní závěrky Odrůdového úřadu Společenství za rozpočtový rok 2015, spolu s odpovědí úřadu (2016/C 449/08)

1. Certifikační postup. 1.1 Příprava auditu. 1.2 Audit 1. stupně

ZÁKLADNÍ NABÍDKA SLUŽEB

Hodnocení rizik v resortu Ministerstva obrany

ZPRÁVA (2016/C 449/09)

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

ZPRÁVA (2016/C 449/07)

INFORMACE K VYHLÁŠENÍ VÝZVY MAS PŘÍLOHA VÝZVY

ZPRÁVA. o ověření roční účetní závěrky Evropské nadace odborného vzdělávání za rozpočtový rok 2015, spolu s odpovědí nadace (2016/C 449/31)

Bezpečnost na internetu. přednáška

AUDITY Hlavním cílem každého auditu musí být zjišťování faktů, nikoli chyb!

ZPRÁVA. o ověření roční účetní závěrky Agentury Evropské unie pro základní práva za rozpočtový rok 2015, spolu s odpovědí agentury (2016/C 449/38)

Doporučení dobré praxe o vnitřní kontrole, etických zásadách a compliance

Kontrolní list Systém řízení výroby

BEZPEČNOSTNÍ ROLE. a jejich začlenění v organizaci

(2) Zásady bezpečnostní politiky jsou rozpracovány v návrhu bezpečnosti informačního systému

Příloha Partner. Subjekt C&A: C&A Moda, s.r.o. Datum revize Revizi provedl/a. Aktuální verze 0.5. Stupeň důvěrnosti

Projektové řízení a rizika v projektech

B_AudAuditing. Václav Kupec. - zopakování látky. - praktický příklad. - ukončení předmětu

2/6. 1 Úř. věst. L 158, , s Úř. věst. L 335, , s Úř. věst. L 331, , s

Systém managementu jakosti ISO 9001

Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb., ve znění pozdějších předpisů

Zákon o kybernetické bezpečnosti

PŘÍLOHA NAŘÍZENÍ KOMISE V PŘENESENÉ PRAVOMOCI (EU) /...

Biofyzikální ústav AV ČR, v.v.i.

Příloha Nezávislý pracovník

SOUBOR OTÁZEK PRO INTERNÍ AUDIT (Checklist)

Informace o zpracování osobních údajů a poučení o právech subjektu údajů

ZPRÁVA. o ověření roční účetní závěrky Evropského monitorovacího centra pro drogy a drogovou závislost za rozpočtový rok 2015, spolu s odpovědí centra

EIOPA(BoS(13/164 CS. Obecné pokyny k vyřizování stížností zprostředkovateli pojištění

SMĚRNICE DĚKANA Č. 4/2013

Bezpečnostní politika informací SMK

Obecné pokyny k nařízení o zneužívání trhu Osoby, jimž je sondování trhu určeno

Procesy, procesní řízení organizace. Výklad procesů pro vedoucí odborů krajského úřadu Karlovarského kraje

Zdravotnické laboratoře. MUDr. Marcela Šimečková

V Olomouci dne 25. května Politika ochrany osobních údajů Gymnázia, Olomouc, Čajkovského 9

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Leady & MERK Integrace Microsoft Dynamics CRM s aplikacemi Leady a MERK

IBM Analytics Professional Services

Transkript:

BEZPEČNOSTNÍ POLITIKY V ORGANIZACÍCH Security policy in organizations Ing. Bc. Marek Čandík, Ph.D. Abstrakt Organizace mají širokou škálu možností, jak přispět k vlastní bezpečnosti Tvorba bezpečnostních politik v organizaci hraje významnou roli v řešení jejich bezpečnosti. Článek uvádí některé pohledy k tvorbě bezpečnostních politik v organizacích a uvádí některé zásady jejich tvorby. Klíčová slova: bezpečnost, bezpečnostní politika, bezpečnostní zásady. Abstract Organizations have a wide range of options to contribute to their own security. Creating security policies in an organization plays an important role in addressing their security. The article gives some insights into the formation of security policies in organizations and sets out some principles of their creation. Keywords: Security, security policy, security principles Úvod Bezpečnostní politika je dokument, který popisuje postupy, jimiž se daná organizace řídí, při plánování ochrany svých aktiv. Jedná se o tzv. živý dokument, tedy bezpečnostní politika není nikdy finální, ale měla by se provádět pravidelná aktualizace. Ke změnám by však nemělo docházet příliš často, což klade důraz na obecný charakter obsahu. Bezpečnostní politika musí být 1

aktualizována, aby nedocházelo ke stárnutí informací. Doporučuje se provádět aktualizaci v pravidelných intervalech a pokaždé, když nastane významná změna v organizaci. Během aktualizace by měla být zvážena také možnost zlepšení bezpečnosti informací. Za tvorbu a aktualizaci by měl být zodpovědný pracovník, který byl stanoven vedením organizace. (Stavjaňová, 2012). Východiskem pro tvorbu bezpečnostní politiky je zejména: Bezpečnostní průzkum - Cílem bezpečnostního průzkumu je zjistit co nejvíce vlivů, které by organizaci mohly buď ohrožovat, nebo ji naopak poskytovat příznivé podmínky k jejím aktivitám. Identifikace rizik - Riziko je obecně budoucí, a proto nejistá událost, která může mít nepříznivý účinek na ziskové činnosti podniku, tedy na snížení zisku nebo zvýšení ztráty. Bezpečnostní politiky jsou nejvyšší úrovní formalizovaných bezpečnostních dokumentů. Tyto dokumenty na vysoké úrovni nabízejí obecné vyjádření o aktivitách organizace, a jakou úroveň ochrany by měly mít. Dobře napsané politiky by měly uvést, kdo je zodpovědný za bezpečnost, co je třeba chránit a jaká je přijatelná úroveň rizika. Jsou podobně jako strategický plán, protože načrtávají, co je třeba udělat - ale konkrétně neřídí, jak dosáhnout stanovených cílů. Bezpečnostní politiky mohou být psány s ohledem na poradenské, informační a regulační potřeby. Každý má jedinečnou roli nebo funkci. Dobrá politika dosahuje rovnováhy a je relevantní a srozumitelná. Je-li zásada příliš obecná, nikdo se nestará o to, co říká, protože se na společnost nevztahuje. Jeli politika příliš složitá, nikdo ji nebude číst - nebo pochopit, pokud ano. Klíčovým prvkem v bezpečnostní politice je to, že by měl uvést záměr vedení vůči bezpečnosti. Z hlediska účelu vedení bezpečnostní politiky se rozlišuje: Poradenská politika (advisory policy)- Úkolem je zajistit, aby všichni zaměstnanci poznali důsledky určitého chování a jednání, např. neoprávněné kopírování: zaměstnanci by nikdy neměli stahovat ani instalovat žádný komerční software, shareware nebo freeware na žádné 2

síťové jednotky nebo disky, pokud nemají písemné povolení od správce sítě. Uživatele musí být připraveni za své aktivity, včetně ztráty síťových oprávnění, písemného napomenutí, nebo i ukončení pracovního poměru, pokud jsou porušena pravidla pro odpovídající použití. Informační/informativní politika (informative policy) - Tento typ zásad není navržen s ohledem na prosazování zásad bezpečnosti, ale je určen pro vzdělávání. Jeho cílem je informovat a osvětlit zaměstnancům principy bezpečnosti, Regulační politika (regulátory policy) - Tyto zásady se používají k zajištění toho, aby organizace dodržovala místní zvyklosti, normy a zákony. Standardy/Normy Standardy (resp. normy) jsou mnohem specifičtější než zásady. Standardy jsou taktické dokumenty, protože stanovují konkrétní kroky nebo procesy potřebné pro splnění určitého požadavku. Jako příklad by standard mohl stanovit povinný požadavek, aby byla veškerá e-mailová komunikace šifrována. Takže ačkoli to specifikuje určitý standard, nevysvětluje, jak to má být provedeno. To je ponecháno pro tzv. postupy. Základní úroveň (Baselines) - Základem je minimální úroveň zabezpečení, kterou musí systém, síť nebo zařízení dodržovat. Základní linie jsou obvykle mapovány podle průmyslových standardů. Jako příklad může organizace určit, že všechny počítačové systémy splňují minimální standard pro testování spolehlivosti počítačového systému. Pokyny (guideline) - Pokyny poukazují na vyjádření v zásadách nebo postupech, kterými lze určit konkrétní postup. Je to doporučení nebo návrh, jak by se měly věci dělat. Měl by být flexibilní, aby mohl být přizpůsoben pro individuální situace. Je zapotřebí dbát na to, aby se nezaměňovaly pokyny s osvědčenými postupy. Zatímco pokyny se používají k určení doporučeného postupu, osvědčené postupy se používají k posouzení odpovědnosti. Osvědčené postupy uvádějí, co by jiní příslušní odborníci v oblasti bezpečnosti prováděli ve stejné nebo podobné situaci. 3

Postupy - Postup (procedure) je nejspecifičtější z bezpečnostních dokumentů. Postup je podrobný, detailně zpracovaný (krok za krokem) dokument, který podrobně popisuje, co je potřeba udělat. Postupy jsou vázány na konkrétní technologie a zařízení (viz obrázek 3.4). Měli bychom očekávat, že v případě, že dojde ke změně technických prostředků a zařízení, změní se postupy (protože se zařízení změní). Je nešťastné, když se politiky a postupy vyvíjejí jako výsledek negativní události nebo auditu. Audit nebo zásady by neměly být procesem řízení, hodnocení ano. Cílem hodnocení je poskytnout vedení nástroje potřebné ke zkoumání všech aktuálně zjištěných obav. Z tohoto hlediska může management upřednostňovat úroveň expozice, která je přiměřená a vyhovující a zvolit vhodnou úroveň kontroly. Tato úroveň kontroly by pak měla být zahrnuta do politiky. Obr.1 Struktura politiky. 4

Implementace Nelze implementovat to, co vrcholový management nepodporuje. Je vhodné, aby se zaměstnanci do procesu implementace bezpečnostních politik zapojili, ale největší prvek úspěchu závisí na tom, jaké jsou komunikační a bezpečnostní toky seshora. Díky tomu, že vedoucí pracovníci vedou cestu, lze dále zajistit úspěch nastavením schématu klasifikace dat tak, aby si zaměstnanci uvědomili důležitost údajů, s nimiž pracují. Proto je zapotřebí do implementace zahrnout také školení zaměstnanců. Posledním krokem je nastavení bezpečnostních kontrol, protože bezpečnostní kontroly umožní sledovat úroveň souladu implementovaných postupů s definovanými politikami. Klasifikace dat Informace v organizacích, které jsou majetkového nebo důvěrného charakteru, musí být chráněny. Klasifikace dat je užitečným nástrojem pro zařazení informačních aktiv organizací. K nejběžnějším systémům klasifikace dat patří třídění dat na neveřejné a veřejné. Organizace ukládají a zpracovávají množství elektronických informací o svých zákaznících a zaměstnancích, proto je pro ně důležité, aby přijaly vhodná opatření k ochraně těchto informací. Systémy klasifikace neveřejných i soukromých datových klasifikací naplňují tento cíl tím, že zařazují informace do kategorií. Prvním krokem tohoto procesu je zhodnocení hodnoty informací. Když je tato hodnota známá, je mnohem jednodušší rozhodnout, jaké množství prostředků by mělo být použito k ochraně dat. Nemá smysl utrácet více finančních prostředků na ochranu něčeho s malou hodnotou. 5

Každá úroveň klasifikace, by měla mít specifické požadavky a postupy. Pokud organizace se rozhodne klasifikovat data, může jako kritéria hodnocení použít následující atributy: Hodnota (cena) dat věk (stáří) dat Zákony Předpisy týkající se zveřejnění dat Náklady spojené s ochranou Na základě uvedených atributů lze data rozdělit např. na šest úrovní klasifikace: Nezařazená data veřejná data neveřejná data Důvěrná data Citlivá data Tajemství (např. know-how) Každá úroveň představuje rostoucí úroveň citlivosti. Citlivost je požadovaný stupeň utajení, které by informace měly zachovat. Pokud má jednotlivec povolení přístupu k důvěrným informacím, znamenalo by to, že by mohl přistupovat k nezařazeným, veřejným, ale i neveřejným nebo důvěrným informacím, o kterých má potřebu vědět. Jeho potřeba vědět by se nevztahovala na data citlivé nebo tajné úrovně. 6

Klasifikace veřejných nebo komerčních dat je založena např. na 4-úrovňovém modelu: Veřejná data - tyto informace nemusí být zveřejněny, ale pokud ano, neměly by způsobit žádné škody. Citlivá data - Tyto informace vyžadují vyšší úroveň ochrany, aby nedošlo ke ztrátě důvěrnosti. Soukromá data - Tyto informace jsou určeny pouze pro společnost a jejich zpřístupnění by společnosti poškodilo. Důvěrná data - Toto je nejvyšší úroveň citlivosti a zveřejnění by mohlo společnosti způsobit mimořádné škody. Role a zodpovědnost Stejně jako je důležitá klasifikace dat, je důležité poskytnout jasné rozdělení rolí a odpovědnosti. Bude to obrovská pomoc při řešení všech bezpečnostních problémů. Pod tuto politiku by se měli spadat všichni, včetně zaměstnanců, konzultantů, externích subjektů atd. Mezi běžné role v oblasti organizační bezpečnosti patří vlastník, správce údajů, uživatel a auditor bezpečnosti: Vlastník/Majitel dat (data owner) - obvykle člen vrcholového managementu (vrcholový management je odpovědný za tento majetek, a pokud je ohrožen, je za to zodpovědný). Vlastník údajů může delegovat některé každodenní povinnosti, ale nemůže přenést úplnou odpovědnost veškerá odpovědnost padá nakonec na vrcholový management. Správce údajů (data custodian) - obvykle je to zaměstnanec IT oddělení. Správce údajů neurčuje, jaké kontroly jsou potřebné, ale provádí kontroly jménem vlastníka údajů. Další odpovědnosti zahrnují každodenní správu majetku. Řízení přístupu, přidávání a odstraňování oprávnění pro jednotlivé uživatele a zajištění toho, aby byly provedeny správné kontroly, jsou součástí denních úkolů správce dat. 7

Uživatel (user) - je to role konečného uživatele v organizaci. Uživatelé mají odpovědnost: Musí naplňovat požadavky stanovené v zásadách a postupech, musí také vykonávat náležitou péči (náležitá péče je péče, kterou by obyčejná rozumná osoba vykonávala za stejných nebo podobných okolností). Auditor bezpečnosti (security auditor) - Jedná se o osobu, která zkoumá bezpečnostní postupy a mechanismy organizace. Jak často se tento proces provádí, závisí na odvětví a souvisejících nařízeních. Bez ohledu na odvětví by měl vrcholový management dokumentovat a schvalovat proces auditu. Bezpečnostní kontroly Cílem bezpečnostních kontrol je prosadit bezpečnostní mechanismy, které organizace vyvinula. Bezpečnostní kontroly mohou být administrativní, technické nebo fyzické. S účinnými kontrolami se mohou rizika a zranitelnosti snížit na přijatelnou úroveň. K ochraně důvěrnosti, integrity a dostupnosti jsou zavedeny bezpečnostní kontroly: Administrativní kontroly se skládají z politik, postupů, pokynů a základních údajů, které organizace vyvíjí. Administrativní kontroly zahrnují také mechanismy zavedené k prosazování a kontrole činnosti a přístupu zaměstnanců, jako jsou: Prověrka žadatele (applicant screening) - Cenná kontrola, která by měla být použita během procesu náboru. Kontroly na pozadí, referenční kontroly, ověření vzdělávacích záznamů by měly být součástí procesu screeningu. Zaměstnanecké kontroly (employee controls) - Další užitečný mechanismus, který může do hloubky doplnit obranu do administrativní kontroly organizace. Některé běžné kontroly zaměstnanců obsahují podrobné popisy práce s definovanými úlohami a povinnostmi. Jedná se o postupy, které vyžadují rotaci povinností, přidání dvojí kontroly a povinné dovolené. 8

Ukončovací řízení (termination procedures) - forma administrativní kontroly, která by měla být zavedena k řešení ukončení zaměstnanců. Postupy ukončení by měly zahrnovat výstupní rozhovory, pozastavení přístupu k síti a kontrolní seznamy, které ověřují, že zaměstnanci vrátili veškeré vybavení, které měli v péči, jako jsou klíče, průkazy, mobilní telefony, pagery, Notebooky a software. Technické kontroly jsou logické mechanismy, které slouží k řízení přístupu, ověřování uživatelů, identifikace neobvyklé činnosti a omezení neoprávněného přístupu. Některá zařízení používaná jako technické ovládací prvky zahrnují brány firewall, systémy IDS a autentizační zařízení, jako je biometrie. Technické kontroly mohou být hardware nebo software. Fyzické kontroly jsou ovládací prvky, které jsou nejčastěji viditelné. Příklady fyzických kontrol zahrnují brány, stráže, ploty, zámky, kamerové systémy, turnikety. Protože tyto ovládací prvky lze vidět, je důležité si uvědomit, že se lidé mohou pokoušet najít způsoby, jak je obejít. Závěr Bezpečnostní politiky jsou dokumenty, které na vysoké úrovni nabízejí obecné vyjádření o aktivitách organizace a uvádí, co je třeba chránit a jaká je přijatelná úroveň rizika. Současně načrtávají, co je třeba udělat a jak dosáhnout stanovených cílů. Článek prezentuje některé principy a postupy tvorby bezpečnostních politik v organizacích. Literatura www.jebcl.com/riskdo/riskdo.htm Risk assessment do s and don ts www.tsoft.cz/index.php?q=cz/analyza-rizik - T-SOFT. Analýza rizik www.security.berkeley.edu/sec.policy/ - Security Resources and Services www.ucop.edu/ucophome/policies/bfb/ - Security Stavjaňová, M. Bezpečnostní politika a řízení rizik v organizaci. Zlín: UTB Zlín, 2012. 9

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář