Bezpečnost IT - Detail

Potřebnou bezpečnost IS dnes nelze chápat pouze jako soubor HW a SW preventivních mechanismů v podobě instalovaných firewallů, proxy, rezidentní antivirové ochrany či autentizačních mechanismů atd., ale je nutno ji vnímat jako „Soubor pevně stanovených pravidel , procesů a postupů, které definují, řídí, koordinují a kontrolují bezpečnost informací a tím i bezpečnost IS ve všech fázích jeho životního cyklu“.

V praktickém životě to představuje zpracování „Bezpečnostní strategie (politiky) IS“, která je v souladu s „Koncepcí dlouhodobého rozvoje IS“ a ovlivňuje jednotlivé činnosti gestora IS v následujících fázích:

  • Předprojektová příprava IS (etapa koncepce)
  • Projektování IS (etapa vývoje)
  • Realizace – implementace IS, včetně dílčích komponent (etapa produkce)
  • Provozování IS (etapa využívání)
  • Údržba IS (upgrade, update) (etapa podpory)
  • Bezpečná likvidace dílčích komponent IS (etapa vyřazení )

Chceme-li zajistit bezpečnost IS, je důležité nejdříve definovat , co přesně a před čím chceme chránit. Stanovit jakého stavu a jakým způsobem ho chceme dosáhnout.

K tomu je potřeba nejdříve:

1. Posoudit současný stav :

  • Definovat chráněná aktiva a ocenit je - stanovit jejich kategorii
  • Provést identifikaci hrozeb a stanovení rizik se stanovením akceptovatelné míry rizika
  • Posoudit současný stav – posoudit stávající způsob ochrany aktiv z pohledu:
    • Identifikovaných hrozeb a rizik
    • Platné legislativy a standardů
  • Navrhnout vhodná protiopatření k eliminaci rizik a k dosažení shody s platnou legislativou

2. Zpracovat „Bezpečnostní politiku IS“, která bude základním předpokladem pro:

  • Zavedení a udržování komplexního a modulárního řešení bezpečnosti ve všech fázích životního cyklu IS
  • Stanovení gescí, pravomocí a odpovědností managementu za všechny oblasti bezpečnosti IS
  • Zavedení systému předem nastavené supervize realizovaných opatření a tím i zavedení systému preventivních opatření
  • Zachování kontinuity procesů v případě krizových stavů a mimořádných událostízavedení potřebných opatření v oblasti fyzické, personální a administrativní bezpečnosti IS
  • optimalizaci nákladů a plánování investic pro budoucí zavádění následných bezpečnostních opatření, současně odůvodnění plánovaných investic
  • Zpětnou vazbu statutárnímu orgánu, že plánované rozpočtové prostředky pro rozvoj IS neslouží pro „privátní vývoj pracovníků IT“, ale jsou v souladu s dlouhodobou koncepcí rozvoje a bezpečnostní strategií IS

Bezpečnostní politika IS se stane základním strategickým dokumentem organizace, která bude definovat cíle, principy a strategie v oblasti bezpečnosti IT/ICT minimálně v rozsahu:

  • Organizace bezpečnosti informací
  • Řízení aktiv
  • Bezpečnost lidských zdrojů
  • Fyzická bezpečnost a bezpečnost prostředí
  • Řízení komunikací a provozu
  • Řízení přístupu
  • Nákup, vývoj a údržba IS
  • Řízení incidentů bezpečnosti informací
  • Řízení kontinuity činnosti organizace
  • Soulad s požadavky

Naše společnost v této oblasti nabízí následující služby:

  • pomoc při stanovení a definování bezpečnostní strategie
  • pomoc při definování chráněných aktivprovedení analýzy rizik pomocí osvědčené metodiky
  • návrh opatření v oblasti organizačních opatřenínávrh opatření v oblasti fyzické bezpečnosti IS
  • návrh opatření v oblasti administrativní bezpečnosti IS
  • návrh opatření v oblasti personální bezpečnosti IS
  • návrh řešení bezpečnosti programového vybavení
  • návrh řešení bezpečnosti dat
  • návrh řešení bezpečnosti sítě
  • návrh řešení managementu bezpečnosti
  • zpracování bezpečnostní politiky IS
  • rozpracování bezpečnostní politiky IS do potřebných systémových bezpečnostních politik
  • zpracování potřebné provozně bezpečnostní dokumentace pro jednotlivé role v IS, včetně uživatele
  • specializovaná školení k bezpečnosti IS a bezpečnosti informací jako celku

:: © I3C Consultants s.r.o. :: K Trninám 945/34, 163 00 Praha 6 ::