Transcript 12. RBS - Bezpečnostný projekt a audit bezp. systému

12. Bezpečnostný projekt a audit
bezpečnostného systému
Bezpečnostný projekt :
Bezpečnostný projekt Informácie, ktoré sa
v ňom nachádzajú je potrebné chrániť, najmä
popisy bezpečnostných opatrení. Základné
bezpečnostné ciele všeobecne v každej
organizácii sú:
a / ochrana obchodného tajomstva – zmluvy,
vzťahy s dodávateľmi, odberateľmi,
technologické postupy, ochrana dobrého
mena
b / ochrana majetku – výrobné zariadenia
materiály, polotovary, tovary, dopravné
zariadenia.
c / ochrana finančných prostriedkov
d / ochrana osobných údajov
e / ochrana proti živelným pohromám
f / ochrana bezpečnosti a zdravia pri práci
Je vhodné spracovať bezpečnostnú
politiku informačných technológií, ktorá
bude vychádzať z bezpečnostnej politiky
celej organizácie.
Ochrana osobných údajov je integrovanou
časťou bezpečnostnej politiky informačných
technológií celej organizácie a v
bezpečnostnom projekte v časti „ základné
bezpečnostné ciele“ by mali byť spomenuté
hlavne ciele pri ochrane osobných údajov.
Bezpečnostný projekt vymedzuje rozsah a
spôsobilosť technických, organizačných a
personálnych opatrení potrebných na
eliminovanie a minimalizovanie hrozieb a
rizík pôsobiacich na informačný systém z
hľadiska narušenia jeho bezpečnosti,
spoľahlivosti a funkčnosti.
Pri spracovaní bezpečnostných projektov sa
môže postupovať podľa týchto krokov :
1. inicializácia bezpečnostného projektu
2. realizácia bezpečnostných rizík
3. vypracovanie bezpečnostnej politiky
4. návrh bezpečnostných štandardov
5. vypracovanie implementačného plánu
6. audit bezpečnosti.
Fyzická osoba – podnikateľ, ale aj právnická
osoba je povinná vypracovať bezpečnostný
projekt na ochranu osobných údajov podľa
zákona č. 428/2002 Z. z. ak :
a / informačný systém je prepojený na
verejne prístupnú počítačovú sieť alebo je
prevádzkovaný v počítačovej sieti, ktorá
je prepojená na verejne prístupnú
počítačovú sieť
b / sú v informačnom systéme spracovávané
osobitné kategórie osobných údajov
c / informačný systém podlieha zákonu
vymedzeným podmienkam.
Bezpečnostný projekt obsahuje :
1. bezpečnostný zámer
2. analýzu bezpečnosti informačného
systému
3. bezpečnostné smernice
Audit bezpečnostného systému
Audit bezpečnostného systému
(bezpečnostný audit) je špecifickou kontrolou
v rámci systému manažérstva kvality podľa
STN ISO 9000:2000 pre činnosť
bezpečnostného systému. V súlade s
citovanou normou sa uplatňuje :
1. vnútorný audit ktorý je vykonávaný
interným audítorom, audit vykonáva
organizácia vo vnútri svojej organizačnej
štruktúry
2. externý audit, vykonávaný audítorom
nezávislej organizácie ( nezávislým
audítorom ).
Bezpečnostný audit je vo svojej podstate
nezávislým overením funkčnosti
bezpečnostného systému v danej fáze jeho
prevádzky.
Medzi základné princípy bezpečnostného
auditu patria:
1. nezávislosť, tzn. overenie
bezpečnostného systému subjektom
ktorý sa nepodieľa na praktickej realizácii
bezpečnostného systému.
2. odborná spôsobilosť, ktorá sa
zabezpečuje potrebnou kvalifikáciou na
vykonanie auditu. Tá sa deklaruje najmä:
a / bezpečnostným vzdelaním
b / bezpečnostnou praxou
c / osvedčením súdneho znalca pre daný
odbor
d / osvedčením audítora ISO
Pri komplexnom audite je vhodné využívať
odbornú spôsobilosť pre jednotlivé
špecializácie, napr. fyzickú ochranu,
technické zabezpečenie, bezpečnosť
informačných systémov a pod.
3. komplexnosť, ktorá znamená zameranie
auditu na celý bezpečnostný systém, tzn.
na všetky subsystémy:
a / v rámci štruktúry ochrany:
1. ochrana majetku
2. ochrana osôb
3. ochrana informácií
b / podľa prostriedkov ochrany :
1. technické zabezpečovacie
prostriedky (EZS, CCTV, SKV, EPS,
MZP )
2. režimová ochrana a organizačné
opatrenia
3. fyzická ochrana
4. personálna bezpečnosť
5. fyzická a objektová bezpečnosť
6. administratívna bezpečnosť
7 informačná bezpečnosť a pod.
4. Preukázateľnosť záverov, objektívnosť
a nezávislosť sa pri audite chápe nielen
pri výbere audítora, ale tiež pri
interpretácii výstupov auditu. Je
neprípustné vyslovovať len domnienky,
závery auditu musia byť vždy preukázané
5. personálna bezpečnosť predstavuje
overenie bezpečnostnej spoľahlivosti
audítora, vrátane záväzku mlčanlivosti.
Bezpečnostný audit sa môže vykonávať :
a / v etape projektovania bezpečnostného
systému – vstupný audit
b / po nainštalovaní bezpečnostného
systému – výstupný audit ako forma
prevzatia bezpečnostného systému
c / počas prevádzkovania bezpečnostného
systému – bezpečnostný audit ako
nástroj kontroly
Pre potreby bezpečnostného manažmentu
boli vyvinuté špeciálne auditačné produkty a
postupy. Aj keď ich špecifiká sa rôznia,
obsahom by mali byť nástroje a postupy na
overenie nasledujúcich oblastí:
1. obsah a kvalita analýzy bezpečnostného
prostredia, resp. či vôbec bola analýza
vykonaná
2. vykonanie, obsah a kvalita rizikovej analýzy
spôsob vymedzenia
3. vykonanie, obsah a kvalita bezpečnostnej
analýzy, reálnosť záverov, použiteľnosť
a aktuálnosť definovanej rizikovosti
objektov
4. vykonanie, kvalita, rozsah a použiteľnosť
bezpečnostnej koncepcie pre
projektovanie bezpečnostného systému
5. kvalita, rozsah, štruktúrovanosť, logická a
operačná previazanosť a primeranosť
použitých spôsobov ochrany objektu
a / klasická
b / fyzická
c / technická
d / režimová ochrana
6. dodržiavanie technických noriem,
požiadaviek a zásad po inštalácii
technických prostriedkov ochrany (PSN,
EPS), spôsob a systém zaistenia servisnej
činnosti
7. kvalita výberu, prípravy, kontroly,
hodnotenia a celkového vedenia
pracovníkov fyzickej ochrany s dôrazom
na personálnu bezpečnosť
8. rozsah, kvalita, realizácia a kontrola
dodržiavania režimových opatrení s
dôrazom na :
a / vstupný/výstupný režim
b / materiálový a expedičný režim
c / prevádzkový režim
d / kľúčový režim
9. kvalita organizačných opatrení, s dôrazom
na :
a / systém tvorby obsah riadiacich
dokumentov
b / obsah, kvalita a reálnosť dokumentov
pre organizáciu ochrany objektu
c / smernice pre technickú službu
d / smernice pre ochranu utajovaných
skutočností a pod.
10. uplatnenie systému manažérstva kvality
v súlade s STN EN ISO 9000, STN EN
ISO 9001, 9004 a 10011
11. realizáciu ďalších požiadaviek vzhľadom
na špecifiku chráneného objektu, napr.
v prípade strategických objektov, objektov
objektov osobitnej či ďalšej dôležitosti.
Audítorské dôkazy sú informácie, ktoré
získava audítor o posudzovanej oblasti
bezpečnostného systéme na formulovanie
záveru nevyhnutného pre audítorský názor v
audítorskej správe. Vo svojej podstate
sú to záznamy, konštatovania skutočností
alebo iné informácie ,týkajúce sa kritérií
auditu, ktoré sú verifikovateľné.
Výsledkom môže byť konštatovanie, že
a / zabezpečuje, alebo nezabezpečuje
požadovaný stupeň ochrany
b / poskytuje minimálnu, štandardnú alebo
vyšší stupeň ochrany
c / je alebo nie je rodený v súlade s
požiadavkami manažérskej kvality
d / iné konštatovania