SIKP – Státní informační a komunikační politika Prezentace – aplikace vybraných zákonů ve společnosti NeXA, s.r.o. Eva Štíbrová Zdeňka Strousková Radka Půčková Jenůfa Škopová Ivo Hönigschmied BBUS 2007 Vyšší odborná škola informačních služeb, Praha Institut of Technology, Sligo
NeXA, s.r.o. konzultace zavádění ISO 9001, ISO 14001, OHSAS 18001, ISO 27001, ISO a dalších ekonomické a investiční poradenství metodická podpora a řízení projektů dotační poradenství – ESF zakázkový vývoj SW certifikované systémy ISO 9001,14001, ISO 27001, prověrka organizace pro přístup k utajovaným informacím stupně D – důvěrné. Představení společnosti
ISMS – Information Security Management System Systém řízení bezpečnosti informací komplexní systém s jasnými pravidly podléhající pravidelným a nezávislým auditům. Certifikace dle mezinárodní normy ISO Analýza rizik Identifikace důležitých informací (informačních aktiv) a ohodnocení možných rizik. Dostupnost, Důvěrnost, Integrita. Systémový přístup Rizika je možné pouze minimalizovat a pravidelně revidovat přijatá opatření. Důraz na uvědomění odpovědnosti uživatele, pravidelná školení a revize aplikovaných opatření. Požadavek na prokázání plnění legislativy Bezpečnost informací
Vybrané zákony - legislativní rámec 101/2000 Sb., o ochraně osobních údajů 480/2004 Sb., o některých službách informační společnosti 513/1991 Sb., Obchodní zákoník Samostatná certifikace NBÚ 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti Aplikované zákony
Klasifikace informací Každý ví, s jakou informací pracuje, a ví, jak s ní nakládat. Pravidelná školení a zvyšování povědomí zaměstnanců Názorná školení s vysvětlením dopadů porušení pravidel. Rozšíření pracovních smluv o doložku o ochraně informací Přenos části odpovědnosti na konkrétního zaměstnance. NDA – Smlouvy o mlčenlivosti Projekty s vyšší mírou odpovědnosti zhotovitele. Nastavení IT systémů, pravidelná revize Aspekty technického vývoje, migrace zaměstnanců, lidská chyba. Evidence tzv. „bezpečnostních incidentů“ Vytvoření prostředí, které podporuje řešení, nikoli skrývání. Monitoring a shromažďování důkazů Nasazení SW nástrojů pro ochranu informací a monitoring činností. Praktické aspekty aplikace I
Utajované informace - zákon 412/2005 Sb. Existence utajovaných informací (dříve skutečností) Funkce Národního Bezpečnostního úřadu Stupně utajení: V – vyhrazené, D – důvěrné, T – tajné, PT – přísně tajné Přístup k utajované informaci seznamování/ vytváření a uchovávání Soukromý sektor/ úřady státní správy Fyzické/ právnické osoby bezpečnostní způsobilost osob, průmyslová bezpečnost (administrativní bezpečnost, fyzická bezpečnost) bezpečnost informačních/ komunikačních systémů, kryptografická ochrana Přístup k utajovaným informacím
Bezpečnostní prověrka NBÚ – stupeň „D – důvěrné“ Prověrky určených osob a statutárního orgánu Tvorba, schválení a správa bezpečnostního projektu Řízení přístupu k informacím, dokladování pohybu / zničení UI, krizové plány. Pravidelné revize dle aktualizací legislativy. Prověření organizace, pravidelná hlášení Ekonomická stabilita společnosti, provázání statutárních orgánů, zahraniční styky a obchodní transakce. Prokázání pravidelných školení a revizí postupů a dokumentace Praktické aspekty aplikace II
Prostor pro vaše dotazy Děkuji za pozornost Závěr