Bezpečnostní politika a dokumentace Ing. Dominik Marek Kraj Vysočina
Kraj Vysočina správce VIS dle zákona č. 181/2014 o kybernetické bezpečnosti VIS (zatím) Webový portál (Webové stránky kraje) Elektronický poštovní systém GINIS-spisová služba GINIS-ekonomické moduly certifikovaný ISMS dle ČSN ISO/IEC 27001:2014, který zahrnuje: všechny procesy KrÚ všechna pracoviště a všechny IS
Bezpečnostní politika a dokumentace vyhláška o kybernetické bezpečnosti stanovena struktura a obsah politik i dokumentace příloha č. 5
Mix bezpečnostních politik Politika systému řízení bezpečnosti informací Politika řízení aktiv Politika organizační bezpečnosti Politika řízení dodavatelů Politika bezpečnosti lidských zdrojů Politika řízení provozu a komunikací Politika řízení přístupu Politika bezpečného chování uživatelů Politika zálohování a obnovy a dlouhodobého ukládání Politika bezpečného předávání a výměny informací Politika řízení technických zranitelností Politika bezpečného používání mobilních zařízení Politika akvizice, vývoje a údržby Politika ochrany osobních údajů Politika fyzické bezpečnosti Politika bezpečnosti komunikační sítě Politika ochrany před škodlivým kódem Politika nasazení a používání nástroje pro detekci kybernetických bezpečnostních událostí Politika využití a údržby nástroje pro sběr a vyhodnocení kybernetických bezpečnostních událostí Politika bezpečného používání kryptografické ochrany Politika řízení změn Politika zvládání kybernetických bezpečnostních incidentů Politika řízení kontinuity činností
Mix bezpečnostních politik... Politika systému řízení bezpečnosti informací Politika řízení aktiv Politika organizační bezpečnosti Politika řízení dodavatelů A co ta dokumentace? Politika bezpečnosti lidských zdrojů Politika řízení provozu a komunikací Politika řízení přístupu Politika bezpečného chování uživatelů Politika zálohování a obnovy a dlouhodobého ukládání Politika bezpečného předávání a výměny informací Politika řízení technických zranitelností Politika bezpečného používání mobilních zařízení Politika akvizice, vývoje a údržby Politika ochrany osobních údajů Politika fyzické bezpečnosti Politika bezpečnosti komunikační sítě Politika ochrany před škodlivým kódem Politika nasazení a používání nástroje pro detekci kybernetických bezpečnostních událostí Politika využití a údržby nástroje pro sběr a vyhodnocení kybernetických bezpečnostních událostí Politika bezpečného používání kryptografické ochrany Politika řízení změn Politika zvládání kybernetických bezpečnostních incidentů Politika řízení kontinuity činností
Politika řízení aktiv Co jsou informační aktiva? Vše, co má pro nás cenu a nějakým způsobem souvisí s ICT
Politika řízení aktiv Co jsou informační aktiva? proces identifikace aktiv nově pořizovaná aktiva Evidence aktiv členění - primární a podpůrná určení zodpovědnosti za aktiva (garant, tech. správce) určení vazeb mezi aktivy (závislosti, datové přenosy) Ochrana aktiv dle jejich důležitosti = hodnocení aktiv kategorizace
Politika bezpečnosti lidských zdrojů Důležitost bezpečnosti lidských zdrojů/uživatelů IT pracovník: 90 % chyb se stane mezi klávesnicí a židlí Útočník: Amatéři hackují systémy, profíci hackují uživatele Pravidla rozvoje bezpečnostního povědomí jak uživatelé, tak zaměstnanci s bezpečnostními rolemi Bezpečnostní školení nových zaměstnanců Pravidla pro ukončení pracovního vztahu nebo změnu pracovní pozice
Politika bezpečného chování uživatelů Pravidla pro bezpečné nakládání s aktivy. Bezpečné použití přístupového hesla. Bezpečné použití elektronické pošty a přístupu na internet. Bezpečný vzdálený přístup. Bezpečnost ve vztahu k mobilním zařízením.
Politika řízení přístupů Klíčová oblast řešící přístupová oprávnění KDO?, KAM?, K ČEMU?, ZA JAKÝCH PODMÍNEK? Gotta Catch 'Em All Proces přidělování/odebírání oprávnění životní cyklus požadavky na řízení oprávnění zahrnuje i privilegovaná oprávnění Pravidelné přezkoumání přístupových oprávnění centrální konsolidovaná DB všech oprávnění
Politika zálohování a obnovy a dlouhodobého ukládání Lidé se dělí na 2 skupiny: ti, co zatím nepřišli o data ti, co pravidelně zálohují Ransomware Obsah politiky: Požadavky na zálohování a obnovu. Pravidla a postupy zálohování (a dlouhodobého ukládání). Pravidla bezpečného zálohování (a dlouhodobého ukládání). Pravidla a postupy obnovy. Pravidla a postupy testování zálohování a obnovy. Politika přístupu k zálohám, ukládaným informacím.
Děkuji za pozornost. Dominik Marek Odbor analýz a podpory řízení Krajský úřad Kraje Vysočina Marek.Dominik@kr-vysocina.cz