Zkušenosti se zaváděním systému řízení ochrany informací podle ČSN BS ČSN ISO//IEC ve městě Vsetín Stanislava Konečná Vedoucí odboru kanceláře starosty
1.Zavádění systému řízení jakosti dle ISO 9001 a systému enviromentálního managementu dle ISO s cílem zvýšit spokojenost zákazníka (občana) 2.Směrnice číslo QS 42-03, provozování informačních systémů, používání počítačových programů a ostatních prostředků ICT. 3.Analytická studie řízení ICT 4.Interní směrnice číslo QS Ochrana informací 5.Právní normy 6.Podmínky zavádění systému ochrany informací v souladu s požadavky normy ISO ČSN Závěr
Plánuj – stanov cíle a procesy nezbytné k dosažení výsledků v souladu s požadavky zákazníka a s politikou organizace Dělej – uplatňuj procesy Kontroluj – monitoruj a měř procesy ve vztahu k politice, cílům a požadavkům na produkt a podávej zprávy o výsledcích Jednej – prováděj opatření pro neustálé zlepšování výkonnosti procesu 1.Zavádění systému řízení jakosti dle ISO 9001 a systému enviromentálního managementu dle ISO s cílem zvýšit spokojenost zákazníka (občana) (Neustálé zlepšování systému managementu jakosti - aplikována metoda PDCA)
2.Interní směrnice číslo QS 42-03, provozování informačních systémů, používání počítačových programů a ostatních prostředků ICT Účelem této směrnice bylo: a)určit zásady provozování IS a ICT b)stanovit jednotný a jednoznačný systém vedení, řízení, identifikace HW a SW prostředků a systém pravidel pro kontrolu užívání těchto prostředků c)stanovit odpovědnost za obsah, kvalitu a zveřejňování informací d)stanovit odpovědnost za správnost datových sad Cílem této směrnice bylo: a)zajistit soulad užívání ICT s platnými právními předpisy ČR b)zajistit soulad s příslušnými licenčními ujednáními a respektováním autorských a průmyslových práv dodavatelů SW produktů S postupem času praxe ukázala, že tento vnitřní předpis není zcela dostačující.
3.Analytická studie řízení ICT Zpracování analytické studie podle principu systémové integrace nad informačním systémem úřadu Cílem této studie bylo: a)posouzení míry, kterou informační systémy podporují systém managementu jakosti dle ISO 9001 a systému enviromentálního managementu dle ISO b)navrhnout postup, jak vytvořit kvalitní, jednotný, komplexní a integrovaný systém úřadu, který bude v souladu s mezinárodními normami Doporučení: a)provést novelizaci směrnice o provozování informačních systémů, používání počítačových programů a ostatních prostředků ICT v souladu se zákonem č. 365/2000 Sb., standardy ISVS a oborovými normami ČSN/BS – Pravidla pro fungování systému řízení informační bezpečnosti ČSN/ISO – proces životního cyklu softwaru a informačního systému b)vytvořit a dodržovat směrnici (směrnice) pokrývající všechny součásti informatiky v souladu se zákonem č. 365/3000 Sb., standardy ISVS a oborovými normami ČSN/ISO a ČSN/BS
4.Interní směrnice číslo QS Ochrana informací Účelem této organizační směrnice bylo: a)určit zásady ochrany informací b)stanovit jednotný a jednoznačný systém odpovědnosti, vedení a řízení fektivních bezpečnostních praktik c)zajistit ochranu důvěrnosti, integrity a dostupnosti informací, při komunikaci uvnitř Městského úřadu Vsetín i mezi organizacemi a občany Předmětem ochrany jsou: a)jakékoliv nosiče údajů a informací, (např. písemné materiály, magnetická média, optická datová média, paměti počítačů, osobních záznamníků apod.) b)všechny formy přenosů údajů a informací (přenosy poštovní, kurýrní, osobní, telefonické, telegrafické, faxové, datové apod. Cílem této směrnice bylo zajistit soulad ochrany informací a)s platnými právními předpisy České republiky, b)příslušnými licenčními ujednáními c)respektování zákonných práv občanů, organizací a pracovníků úřadu na ochranu informací.
Postup při zavádění systému řízení ochrany informací podle ČSN BS )Prezentace a seznámení s podmínkami systému řízení bezpečnosti informací 2)Školení k zavádění systému řízení 3)Zřízení fóra bezpečnosti informací 4)Stanovení požadavků na systém řízení bezpečnosti informací Prosazení systému řízení Implementace Dokumentace Kontrola dokumentace Záznamy
5)Stanovení detailních opatření - popis činností a postupů Identifikace rizik a bezpečnostní politika Organizace bezpečnosti informací Klasifikace a kontrola aktiv Personální bezpečnost Fyzická bezpečnost a bezpečnost prostředí Správa komunikací a řízení provozu Řízení přístupů Vývoj a údržba systémů Řízení kontinuity činností organizace Soulad s požadavky
6)Zpracování kompletních seznamů všech informačních aktiv Seznam informačních aktiv (dle jednotlivých odborů) Seznam softwarových aktiv s rizikem klasifikovaných do stupně N Seznam fyzických aktiv s rizikem klasifikovaným do stupně N 7)Zpracování dokumentace Kniha bezpečnostních incidentů Kniha bezpečnostních slabin Kniha chybného programového vybavení Záznam bezpečnostního incidentu Záznam bezpečnostní slabiny(BS) Záznam chybného programového vybavení (CHPV)
8)Úprava navazujících interních směrnice a vnitřních předpisů Související interní směrnice a vnitřní předpisy QS provozování informačních systémů, používání počítačových programů a ostatních prostředků ICT. QS Personální záležitosti a zajištění kvalifikace QS Vyřazování a likvidace majetku QS Nakupování a výběr dodavatelů QS Řízení neshod P 11 /03 Zabezpečení budovy MěÚ Vsetín, Svárov č P 14 /03 Pronájem zasedacích místností a společenských prostor P 19 /05 Zveřejňování usnesení Zastupitelstva a Rady města Vsetína
5.Právní normy: zákon č. 365/2000 Sb. o informačních systémech veřejné zprávy a o změně některých zákonů v platném znění zákon č. 101/2000 Sb. o ochraně osobních údajů a o změně některých zákonů v platném znění zákon č. 106/1999 Sb., o svobodném přístupu k informacím v platném znění zákon č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon) zákon č. 148/1998 Sb. o ochraně utajovaných skutečností zákon č. 227/2000 Sb. o elektronickém podpisu usnesení vlády č. 624/01 (pravidla zásady a způsob zabezpečování kontroly počítačových programů) standard ISVS pro atestace shody informačních systémů veřejné správy se standardy ISVS nařízení vlády č. 495/2004 Sb., kterým se provádí zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů vyhláška č. 496/2004 Sb. k elektronickým podatelnám
6.Podmínky zaváděním systému ochrany informací v souladu s požadavky normy ISO ČSN 27001: Určit směr a vyjádřit podporu bezpečnosti informací ze strany vedení Řídit bezpečnost informací v organizaci Nastavit a udržovat přiměřenou ochranu aktiv organizace Zajistit, aby informace získaly odpovídající úroveň ochrany Zajistit, aby zaměstnanci, smluvní a třetí strany byli srozuměni se svými povinnostmi, aby pro jednotlivé role byli vybráni vhodní kandidáti a snížit riziko lidské chyby, krádeže, podvodu nebo zneužití prostředků organizace Zachovat bezpečnost informací organizace a prostředků pro zpracování informací, které jsou přístupné, zpracovávané, sdělované nebo spravované externími subjekty Zajistit, aby ukončení nebo změna pracovního vztahu zaměstnanců, smluvních a třetích stran proběhla řádným způsobem Předcházet neautorizovanému fyzickému přístupu do vymezených prostor, předcházet poškození a zásahům do provozních budov a informací organizace Předcházet ztrátě, poškození, krádeži nebo kompromitaci aktiv a přerušení činností organizace Zajistit, aby si zaměstnanci, smluvní a třetí strany byli vědomi bezpečnostních hrozeb a problémů s nimi spojených, svých odpovědností a povinností a aby byli připraveni podílet se na dodržování politiky bezpečnosti informací během své běžné práce a na snižování rizika lidské chyby
7.Závěr Zavedení systému na MěÚ Vsetín trvalo cca 1 rok. Průběžně se realizují jednotlivé kroky k ochraně informací, stanovené vnitřními předpisy opakované proškolování zaměstnanců instalace nových bezpečnostních zařízení vypracování směrnice k poskytování informací odpovídající vybavení kanceláří seznámení se způsobem nakládání s osobními údaji, se kterými zaměstnanci, funkcionáři, studenti vykonávající praxi či externí osoby přijdou při výkonu veřejné správy do styku výběr nových zaměstnanců kontrola dodržování vnitřních předpisů a přijímání opatření k nápravě atd. interní audity systému řízení Zavádění nových metod řízení sebou přináší nemalé problémy při zapojení pracovníků úřadu, je potřeba počítat s neochotou pracovníků. Doporučení – vhodná motivace pracovníků.