Mediumsoft

bezpecnost.jpg

Implementace systému řízení bezpečnosti informací

MEDIUMSOFT » Produkty a služby » Bezpečnost ICT » Implementace systému řízení bezpečnosti informací

Posouzení současného stavu bezpečnosti

Posouzení probíhá individuálními konzultacemi s uživateli a správci výpočetní techniky ve vztahu k doporučené praxi dle ISO/IEC 17799:2005. Výstupem je souhrnná zpráva pro oblasti:

  1. systémová bezpečnostní politika informací
  2. organizace bezpečnosti
  3. klasifikace a řízení aktiv
  4. personální bezpečnost
  5. fyzická bezpečnost a bezpečnost prostředí
  6. řízení komunikace a řízení provozu
  7. řízení přístupu
  8. vývoj a údržba systémů
  9. řízení kontinuity činnosti organizace

Analýza rizik

  1. identifikace a klasifikace aktiv
  2. ohodnocení aktiv
  3. identifikaci a klasifikace hrozeb
  4. identifikace a klasifikace zranitelností
  5. určení pravděpodobnosti uplatnění hrozby
  6. vyhodnocení rizik

Vytvoření systémové bezpečnostní politiky informací

Vytvoření dokumentu bezpečnostní politiky informací a prezentace dokumentu vedení organizace v procesu jeho schválení.

Bezpečnostní projekt
Projekt implementace schválené bezpečnostní politiky. Zpracování projektu vychází z provedené analýzy rizik. Bezpečnostní projekt není jednorázovým postupem, je třeba jej chápat a implementovat v souladu s principy „Plánuj – Dělej – Kontroluj - Jednej“.

Návrh organizace řízení bezpečnosti
Činnosti v oblasti bezpečnosti vyžadují řízení odpovědnými pracovníky. Organizace řízení bezpečnosti stanoví role, odpovědnosti a schvalovací postupy.

Proces řízení aktiv
Evidence aktiv, jejich atributů z pohledu bezpečnosti, vlastníků, klasifikace, označování a životního cyklu.

Bezpečnost lidských zdrojů
Role zaměstnanců, popisy práce v oblasti bezpečnosti, smluvní ujednání o odpovědnosti za bezpečnost informací.

Fyzická bezpečnost a řízení prostředí
Prevence před neoprávněným přístupem do vymezených prostor a fyzickým zásahům nebo poškození zařízení. Kontrola a evidence přístupu osob. Zabezpečení prostor. Režimy práce v zabezpečených oblastech.

Sledování a řízení prostředí (napájení, teplota).

Řízení provozu a komunikací
Provozní dokumentace a postupy, řízení změn. Přebírání a monitorování služeb třetích stran. Kritéria pro plánování a přejímání systémů. Ochrana proti škodlivému kódu. Procesy zálohování dat a jejich kontrola. Nakládání s výměnnými médií. Správa bezpečnosti sítě. Postupy pří výměně informací. Monitorování stavu a pořizování auditních záznamů.

Řízení přístupu
Formalizace postupů pro přidání/zrušení přístupu uživatel do informačního systému a jeho zařazení/odebrání do příslušných rolí. Schvalovací procedury přidělení přístupu. Politika a správa uživatelských hesel. Procesy autentizace. Řízení privilegovaného přístupu.

Rozvoj a údržba informačního systému
Stanovení požadavků organizace na bezpečnost jednotlivých komponent informačního systémů a způsoby jejich kontroly.

Zpracování bezpečnostních incidentů
Stanovení odpovědnosti a postupů při nahlášení a zpracování bezpečnostního incidentu, zajištění podkladů pro případné právní řízení.

Plán kontinuity
Vypracování plánu kontinuity činnosti organizace a stanovení pravidel pro jeho údržbu a testování.

Soulad s požadavky
Identifikace zákonných a smluvních norem a dokumentace jednotlivých požadavků. Vytvoření pravidel pro kontrolu jejich dodržování.

Vytisknout : Vytisknout článek