Trendy v řešení bezpečnosti informací (aspekty personalistiky) F.S.C. BEZPEČNOSTNÍ PORADENSTVÍ a.s. Tomáš Kubínek
ISO ISMS ISO14000 ITIL COBIT TR13335 Bezpečnost je potřeba řešit komplexně … Který bezpečnostní standard ale použít ?
Používání bezpečnostních standardů v ČR Vítěz
Řešení v kontextu ostatních standardů ISO IEC ISO IEC ISO IEC14000 ISO IEC 9000 ISO IEC ISO IEC 20000
Bezpečnost v oblasti lidských zdrojů (dle ISO IEC 17799:2005) Před vznikem pracovního vztahu –Stanovení rolí a odpovědnosti –Prověrka –Stanovení podmínek výkonu pracovní činnosti V průběhu pracovního vztahu –Odpovědnost vedoucích zaměstnanců –Upevňování bezpečnostního vědomí –Disciplinární řízení Při ukončení nebo změně pracovního vztahu –Stanovení odpovědností při ukončení pracovního vztahu –Navrácení zapůjčených předmětů –Odebrání přístupových práv
Definování bezpečnosti Datové struktury organizace pravidla zaměstnanci Aktiva organizace Přístupová práva Další aktiva organizace
Před vznikem pracovního vztahu Stanovení rolí a odpovědností –Dodržování stanovených bezpečnostních zásad –Ochrana aktiv před neautorizovaným přístupem –Odpovědnost za činnost –Hlášení bezpečnostních událostí a rizik Prověrka –Reference, životopis a totožnost –Vzdělání –Případné detailnější ověření Stanovení podmínek výkonu pracovní činnosti –Závazek ochrany informací a mlčenlivosti (i mimo pracovní dobu) –Stanovení práv a povinností, –Stanovení odpovědnosti za klasifikaci a správu aktiv, nakládání s osobními údaji –Dohoda o ochraně důvěrných informací Datové struktury organizace Další aktiva organizace
V průběhu pracovního vztahu Odpovědnost vedoucích zaměstnanců –Znalost toho, co, jak a v souladu s čím má být požadováno –Motivace Povědomí, vzdělávání a školení v oblasti bezpečnosti –Školení před udělením přístupu k aktivům a službám –Pravidelná školení pro zvyšování bezp. vědomí Disciplinární řízení –Formalizovaný postup –Odpovídající povaze přestupku –Spravedlivé zacházení Datové struktury organizace Další aktiva organizace
Při ukončení nebo změně pracovního vztahu Stanovení odpovědností při ukončení pracovního vztahu –Definovat a přidělit odpovědnosti za odchod zaměstnance –Dohody o ochraně důvěrných informací platné i po skončení vztahu Navrácení zapůjčených předmětů –Navrácení všech zapůjčených předmětů v majetku organizace –Změny vztahu řešit stejně jako ukončení Odebrání přístupových práv –Odejmutí, nebo změna přístupových práv –Zvážení důvodu změny vztahu (ukončení vztahu ze strany organizace) Datové struktury organizace Další aktiva organizace
Bezpečnost v popisu pracovní náplně zaměstnance Povinnost znát a dodržovat stanovené bezpečnostní zásady Povinnost vykonávat bezpečnostní činnosti a postupy Odpovědnost za svou činnost Závazek ochrany informací a mlčenlivosti (i mimo pracoviště a pracovní dobu)
Pravidla definování přístupových oprávnění Přístupová práva definovat v návaznosti na náplň práce zaměstnance a jeho roli Zpřístupnit jen ta aktiva, která zaměstnanec potřebuje k výkonu práce Dokumentovat přístupová práva pro každou roli Pravidelně přezkoumávat a aktualizovat přístupová práva Datové struktury organizace Další aktiva organizace
Role vlastníka aktiva Vlastníkem aktiva se rozumí fyzická osoba, které byla svěřena odpovědnost za dané aktivum. Vlastník aktiva odpovídá za: –zajištění odpovídající klasifikace informací a aktiv souvisejících s prostředky pro zpracování informací; –přesné vymezení a pravidelné přezkoumání omezení přístupu a klasifikace aktiv, v souladu s platnou politikou řízení přístupu. Vlastnictví může být přiděleno na: –proces; –přesně vymezený soubor činností; –aplikaci; –přesně vymezený soubor dat.
Příklady personálních procesů s vazbou na IT Přijetí zaměstnance Změna pracovní pozice zaměstnance Ukončení pracovního vztahu
Děkuji za pozornost