Stáhnout prezentaci
Prezentace se nahrává, počkejte prosím
ZveřejnilVincent Vítek
1
Zkušenosti se zaváděním systému řízení ochrany informací podle ČSN BS 7999-2 ČSN ISO//IEC 27001 ve městě Vsetín Stanislava Konečná Vedoucí odboru kanceláře starosty
2
1.Zavádění systému řízení jakosti dle ISO 9001 a systému enviromentálního managementu dle ISO 14001 s cílem zvýšit spokojenost zákazníka (občana) 2.Směrnice číslo QS 42-03, provozování informačních systémů, používání počítačových programů a ostatních prostředků ICT. 3.Analytická studie řízení ICT 4.Interní směrnice číslo QS 42-06 Ochrana informací 5.Právní normy 6.Podmínky zavádění systému ochrany informací v souladu s požadavky normy ISO ČSN 27001 7.Závěr
3
Plánuj – stanov cíle a procesy nezbytné k dosažení výsledků v souladu s požadavky zákazníka a s politikou organizace Dělej – uplatňuj procesy Kontroluj – monitoruj a měř procesy ve vztahu k politice, cílům a požadavkům na produkt a podávej zprávy o výsledcích Jednej – prováděj opatření pro neustálé zlepšování výkonnosti procesu 1.Zavádění systému řízení jakosti dle ISO 9001 a systému enviromentálního managementu dle ISO 14001 s cílem zvýšit spokojenost zákazníka (občana) (Neustálé zlepšování systému managementu jakosti - aplikována metoda PDCA)
4
2.Interní směrnice číslo QS 42-03, provozování informačních systémů, používání počítačových programů a ostatních prostředků ICT Účelem této směrnice bylo: a)určit zásady provozování IS a ICT b)stanovit jednotný a jednoznačný systém vedení, řízení, identifikace HW a SW prostředků a systém pravidel pro kontrolu užívání těchto prostředků c)stanovit odpovědnost za obsah, kvalitu a zveřejňování informací d)stanovit odpovědnost za správnost datových sad Cílem této směrnice bylo: a)zajistit soulad užívání ICT s platnými právními předpisy ČR b)zajistit soulad s příslušnými licenčními ujednáními a respektováním autorských a průmyslových práv dodavatelů SW produktů S postupem času praxe ukázala, že tento vnitřní předpis není zcela dostačující.
5
3.Analytická studie řízení ICT Zpracování analytické studie podle principu systémové integrace nad informačním systémem úřadu Cílem této studie bylo: a)posouzení míry, kterou informační systémy podporují systém managementu jakosti dle ISO 9001 a systému enviromentálního managementu dle ISO 14001 b)navrhnout postup, jak vytvořit kvalitní, jednotný, komplexní a integrovaný systém úřadu, který bude v souladu s mezinárodními normami Doporučení: a)provést novelizaci směrnice o provozování informačních systémů, používání počítačových programů a ostatních prostředků ICT v souladu se zákonem č. 365/2000 Sb., standardy ISVS a oborovými normami ČSN/BS 7799-2 – Pravidla pro fungování systému řízení informační bezpečnosti ČSN/ISO 15288 – proces životního cyklu softwaru a informačního systému b)vytvořit a dodržovat směrnici (směrnice) pokrývající všechny součásti informatiky v souladu se zákonem č. 365/3000 Sb., standardy ISVS a oborovými normami ČSN/ISO 15288 a ČSN/BS 7799-2
6
4.Interní směrnice číslo QS 42-06 Ochrana informací Účelem této organizační směrnice bylo: a)určit zásady ochrany informací b)stanovit jednotný a jednoznačný systém odpovědnosti, vedení a řízení fektivních bezpečnostních praktik c)zajistit ochranu důvěrnosti, integrity a dostupnosti informací, při komunikaci uvnitř Městského úřadu Vsetín i mezi organizacemi a občany Předmětem ochrany jsou: a)jakékoliv nosiče údajů a informací, (např. písemné materiály, magnetická média, optická datová média, paměti počítačů, osobních záznamníků apod.) b)všechny formy přenosů údajů a informací (přenosy poštovní, kurýrní, osobní, telefonické, telegrafické, faxové, datové apod. Cílem této směrnice bylo zajistit soulad ochrany informací a)s platnými právními předpisy České republiky, b)příslušnými licenčními ujednáními c)respektování zákonných práv občanů, organizací a pracovníků úřadu na ochranu informací.
7
Postup při zavádění systému řízení ochrany informací podle ČSN BS 7999-2 1)Prezentace a seznámení s podmínkami systému řízení bezpečnosti informací 2)Školení k zavádění systému řízení 3)Zřízení fóra bezpečnosti informací 4)Stanovení požadavků na systém řízení bezpečnosti informací Prosazení systému řízení Implementace Dokumentace Kontrola dokumentace Záznamy
8
5)Stanovení detailních opatření - popis činností a postupů Identifikace rizik a bezpečnostní politika Organizace bezpečnosti informací Klasifikace a kontrola aktiv Personální bezpečnost Fyzická bezpečnost a bezpečnost prostředí Správa komunikací a řízení provozu Řízení přístupů Vývoj a údržba systémů Řízení kontinuity činností organizace Soulad s požadavky
9
6)Zpracování kompletních seznamů všech informačních aktiv Seznam informačních aktiv (dle jednotlivých odborů) Seznam softwarových aktiv s rizikem klasifikovaných do stupně N Seznam fyzických aktiv s rizikem klasifikovaným do stupně N 7)Zpracování dokumentace Kniha bezpečnostních incidentů Kniha bezpečnostních slabin Kniha chybného programového vybavení Záznam bezpečnostního incidentu Záznam bezpečnostní slabiny(BS) Záznam chybného programového vybavení (CHPV)
10
8)Úprava navazujících interních směrnice a vnitřních předpisů Související interní směrnice a vnitřní předpisy QS 42-03 provozování informačních systémů, používání počítačových programů a ostatních prostředků ICT. QS 62-01 Personální záležitosti a zajištění kvalifikace QS 63-01 Vyřazování a likvidace majetku QS 74-02 Nakupování a výběr dodavatelů QS 85-01 Řízení neshod P 11 /03 Zabezpečení budovy MěÚ Vsetín, Svárov č. 1080 P 14 /03 Pronájem zasedacích místností a společenských prostor P 19 /05 Zveřejňování usnesení Zastupitelstva a Rady města Vsetína
11
5.Právní normy: zákon č. 365/2000 Sb. o informačních systémech veřejné zprávy a o změně některých zákonů v platném znění zákon č. 101/2000 Sb. o ochraně osobních údajů a o změně některých zákonů v platném znění zákon č. 106/1999 Sb., o svobodném přístupu k informacím v platném znění zákon č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon) zákon č. 148/1998 Sb. o ochraně utajovaných skutečností zákon č. 227/2000 Sb. o elektronickém podpisu usnesení vlády č. 624/01 (pravidla zásady a způsob zabezpečování kontroly počítačových programů) standard ISVS pro atestace shody informačních systémů veřejné správy se standardy ISVS nařízení vlády č. 495/2004 Sb., kterým se provádí zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů vyhláška č. 496/2004 Sb. k elektronickým podatelnám
12
6.Podmínky zaváděním systému ochrany informací v souladu s požadavky normy ISO ČSN 27001: Určit směr a vyjádřit podporu bezpečnosti informací ze strany vedení Řídit bezpečnost informací v organizaci Nastavit a udržovat přiměřenou ochranu aktiv organizace Zajistit, aby informace získaly odpovídající úroveň ochrany Zajistit, aby zaměstnanci, smluvní a třetí strany byli srozuměni se svými povinnostmi, aby pro jednotlivé role byli vybráni vhodní kandidáti a snížit riziko lidské chyby, krádeže, podvodu nebo zneužití prostředků organizace Zachovat bezpečnost informací organizace a prostředků pro zpracování informací, které jsou přístupné, zpracovávané, sdělované nebo spravované externími subjekty Zajistit, aby ukončení nebo změna pracovního vztahu zaměstnanců, smluvních a třetích stran proběhla řádným způsobem Předcházet neautorizovanému fyzickému přístupu do vymezených prostor, předcházet poškození a zásahům do provozních budov a informací organizace Předcházet ztrátě, poškození, krádeži nebo kompromitaci aktiv a přerušení činností organizace Zajistit, aby si zaměstnanci, smluvní a třetí strany byli vědomi bezpečnostních hrozeb a problémů s nimi spojených, svých odpovědností a povinností a aby byli připraveni podílet se na dodržování politiky bezpečnosti informací během své běžné práce a na snižování rizika lidské chyby
13
7.Závěr Zavedení systému na MěÚ Vsetín trvalo cca 1 rok. Průběžně se realizují jednotlivé kroky k ochraně informací, stanovené vnitřními předpisy opakované proškolování zaměstnanců instalace nových bezpečnostních zařízení vypracování směrnice k poskytování informací odpovídající vybavení kanceláří seznámení se způsobem nakládání s osobními údaji, se kterými zaměstnanci, funkcionáři, studenti vykonávající praxi či externí osoby přijdou při výkonu veřejné správy do styku výběr nových zaměstnanců kontrola dodržování vnitřních předpisů a přijímání opatření k nápravě atd. interní audity systému řízení Zavádění nových metod řízení sebou přináší nemalé problémy při zapojení pracovníků úřadu, je potřeba počítat s neochotou pracovníků. Doporučení – vhodná motivace pracovníků.
Podobné prezentace
© 2024 SlidePlayer.cz Inc.
All rights reserved.