RSS
    

Hlavná navigácia:

Preskočiť hlavnú navigáciu

Poradňa

Upresnenie k metodike pre bezpečnostné štandardy

Dobrý deň,

pri internej previerke podľa tejto metodiky som pri niektorých otázkach v situácii, že stav je iný, ako predpokladá otázka a neviem sa rozhodnúť ako urobiť zápis a prideliť tresné body.
Mojím cieľom je vyhnúť sa nejednoznačnosti pri hodnotení a dosiahnuť opakovateľnosť hodnotenia za dodržania rovnakých podmienok a za rovnakých zistení.

Prosím preto o pár rád, ak mi ich môžete poskytnúť:

  1. Otázka „100. Sú v zmluvách s dodávateľmi zahrnuté bezpečnostné požiadavky?“ (Overujú sa náhodné zmluvy. Bezpečnostné požiadavky zahŕňajú napr. bezpečnostné štandardy podľa výnosu MF SR, zabezpečenie ochrany diela pred nevyžiadanými funkciami, neobmedzujúce nastavenie autorských práv, ochrana osobných údajov, dodržiavanie BP organizácie, mlčanlivosť atď.) s 3 trestnými bodmi.
    Problém je, že my sme sami tvorcami informačných systémov, ktoré prevádzkujeme pre seba i pre vlastníka údajov, ktorý riešenie objednal, prakticky okrem zmluvných dodávok potravín do kuchyne, kancelárskeho materiálu z hľadiska IT nemáme dodávateľa na SW, len na pozáručné opravy HW, a tam je v zmluve požadovaná (iba) mlčanlivosť, čím je požiadavka nejako splnená. Klimatizácia nebola kúpená na zmluvu - iba formou objednávky po prieskume trhu, čiže montovanie zamestnancami dodávateľa v priestoroch organizácie nebolo zmluvne regulované. Opravy sa robia rovnako na objednávku. Keďže zmluva neexistuje, tak sa toto neuvažuje? Bol by som rád, keby ste ma usmernili, ako sa mám na to dívať. Teda či spĺňame, alebo by ste za niečo z toho pridelili trestné body.
    S tým súvisí aj „102. Sú zmluvne vyžadované bezpečnostné požiadavky kontrolované? Ak áno, ako?“ (Overuje sa vykonanie a spôsob kontrol.) s 2 trestnými bodmi. Nuž ako mám skontrolovať, či zamestnanci dodávateľa nevytárali niekde mimo našej organizácie, čo máme vnútri atď. , mám prideliť trestný bod?
    S tým podobne súvisí aj „103. Je zmluvne zabezpečené, aby nedodržanie bezpečnostných požiadaviek zo strany dodávateľa umožnilo neukončiť alebo neprebrať jeho dielo alebo prácu?“ (Overujú sa náhodné zmluvy.) za 3 trestné body. Neexistencia znamená 0 či 3 trestné body?
    Pritom všetkom mi je jasné, že majú byť čo najviac používané merateľné ukazovatele, aby sa dalo vyhodnocovať bez problémov, ale v danom kontexte som mimo. Napokon, ak by sme nemali vôbec žiadnu zmluvu, lebo by sme mali vlastných technikov, ktorí by všetko spravili ako to bolo v organizácii pred 20 rokmi, uznali by ste to ako splnené alebo by ste pridelili trestné body? A tu v „§ 42 Účasť tretej strany“ je tých trestných bodov toľko, že to dosť výrazne mení celkové hodnotenie v %.
  2. Otázka „96. Existuje ku každému IS VS používateľská dokumentácia (návod na používanie)?“ (Overuje sa existencia príslušnej dokumentácie pre jeden alebo viac IS VS.). Uznali by ste za používateľskú dokumentáciu existenciu helpu, ktorý je súčasťou programu?
  3. Nie sú v otázkach „97. Existuje ku každému IS VS administrátorská dokumentácia (návod na správu a prevádzku)?“ a „98. Existuje ku každému IS VS prevádzková dokumentácia (architektúra, konfigurácie a väzby)?“ zamenené pojmy „administrátorská“ a „prevádzková“? Môžu byť tieto dve príručky tiež len v elektronickej podobe?
  4. V otázke „94. Existuje zabezpečenie menovania zástupcu dodávateľa?“ (Overuje sa zavedenie v dodávateľskej zmluve prípadne iným spôsobom.) za 1 trestný bod. Ako postupovať, ak podľa vyššie uvedeného kontextu nemáme dodávateľa alebo nemáme schvaľovací proces „92. Je zavedený schvaľovací proces pre zmeny existujúcich a zavádzanie nových IS VS a IKT, ktorý zároveň zahŕňa bezpečnostné požiadavky? „ a teda niet preto dôvod pre otázku 94. Prideliť trestný bod? Splní sa tento bod, keď zavedieme proces a v smernici bude zakotvená požiadavka, aby v zmluvách muselo byť požadované meno zástupcu (ak bude dodávka) dodávateľa prítomného pri konkrétnom schvaľovacom procese?
    Podobne „93. Je zabezpečené menovanie zástupcu organizácie pre činnosti podľa predchádzajúceho bodu?“ : ak určíme v smerniciach, že to vždy bude (pri zavedenom procese) bezpečnostný manažér organizácie, bude tento bod naplnený?
  5. V otázke „76. Má archivačná záloha dve kópie?“ (Overuje sa fyzická existencia druhej kópie.) pojem kópia znamená exemplár? Teda dúfam, nepožaduje sa mať údaje mimo server trojmo(1.záloha plus 2.prvá kópia plus 3.druhá kópia). Možno považovať odzálohované údaje na iný disk (než je originál bežiaceho IS VS) za jeden exemplár zálohy?
  6. V otázke „25. Existuje vypracovaný postup pre disciplinárne konanie v prípade porušenia BP alebo relevantných predpisov?“ (Overuje sa existencia takéhoto postupu (najmä samostatné konanie alebo vzťah k všeobecným vnútorným predpisom)) – je to splnené alebo nie resp. stačí, ak sa každé porušenie zásad uvedených v dokumentoch informačnej bezpečnosti považuje za porušenie pracovnej disciplíny a bude sa riešiť podľa možností daných zákonníkom práce alebo nevyhnutne musí byť konkrétne rozpísaný postup?

  7. Naša organizácia je dosť špecifická: vytvárame a po poverení objednávateľom prevádzkujeme IS VS také, ktoré majú používateľov mimo našej organizácie (napr. na iných úradoch alebo verejnosť).
    Dokumenty informačnej bezpečnosti našej organizácie nemusia riešiť bezpečnosť používateľov v iných organizáciách, iba bezpečné postupy práce pri tvorbe a prevádzke našími zamestnancami, všakže?

    • K 100 – ak sa vás daný bod netýka, tak sa uvažuje ako keby bol splnený
    • K 102 – áno, aj, podstatné je, či napr. pri preberaní alebo testovaní diela / SW / HW / ochrany „serverovne“ atď. aj overujete dodržanie bezpečnosti, ktorú ste chceli dosiahnuť (jedná sa najmä o existenciu daného procesu a jeho vykonávanie)...
    • K 103 – rovnako ako 100
  1. K 96 – áno, používateľská príručka môže byť kľudne v elektronickej podobe a ideálne súčasťou samotného programu / aplikácie / IS
  2. K 97 – pojmy zamenené nie sú, tú prvú používa najmä administrátor, tú druhú používa vlastník IS keď chce niečo robiť s daným IS. Obe môžu byť kľudne aj elektronické.
    • K 94 – obdobne ako k 100
    • K 92 – schvaľovací proces by mal byť zavedený, lebo nikdy neviete, či taká situácia nenastane (predpokladám, že napr. systém registratúry ste si neprogramovali, ale dostali ste nejaké balíkové/nastavované riešenie, čo je presne situácia schvaľovania a preberania IS)
    • K 93 – áno
  3. K 76 – máte mať prevádzkovú zálohu + 2x archivačnú. Ktoré údaje sú v ktorej určujete v BP, archivačná je väčšinou úplná, ktorá ide napr. na pásky, prevádzková sa často krát drží nanajvýš 7 dní na nejakom záložnom serveri. Záložné disky alebo sekundárne strediská sú samozrejme takisto záložným „exemplárom“. Podstatné pri archivačnej zálohe je, aby ste vedeli obnoviť údaje z 2 zdrojov, pričom tieto nemajú byť na jednom fyzickom mieste (pre prípad požiaru, zatopenia atď.)
  4. K 25 – Stačí a ideálne je, ak sa to považuje za porušenie pracovnej disciplíny, pričom ďalší postup určujú štandardné predpisy pre takúto situáciu.

    K záverečnej otázke – správne, vašou BP zastrešujete vlastných zamestnancov (+dodávateľov atď.), v prípadoch, kde ste vy dodávateľom (prevádzkovateľom) sa riadite BP príslušnej organizácie, rovnako ako jej zamestnanci.

    Peter Bíro

    Tím informatizácia

    22.05.2012 | Štandardizácia, Informačná bezpečnosť Späť »
    Po Ut St Š Pi So Ne
    1 2 3 4 5 6 7
    8 9 10 11 12 13 14
    15 16 17 18 19 20 21
    22 23 24 25 26 27 28
    29 30 31 1 2 3 4

    Wifi pre teba

    Merač internetu (vrátane aplikácie Mobiltest pre Android cez Google Play Store, pre iOS cez Apple Store)

    Porovnávač cien internetu

    Centrálny metainformačný systém verejnej správy

    Anketa
    V rámci Operačného programu Integrovaná infraštruktúra 2014-2020 bude MFSR zodpovedným orgánom za plnenie cieľov jeho prioritnej osi 7 Informačná spoločnosť. Ktorý z nasledujúcich vybraných cieľov prioritnej osi 7 považujete vy osobne za najdôležitejší?

    Rozširovanie vládneho cloudu
    82557
    Rozvoj elektronických služieb pre občanov a podnikateľov
    99876
    Pokrytie všetkých domácností širokopásmovým internetom s rýchlosťou min. 30Mbit/s
    60439
    Zvyšovanie dostupnosti údajov verejnej správy prostredníctvom otvorených dát
    22371
    Podpora prebiehajúcej reformy verejnej správy prostriedkami IKT (informačno-komunikačné technológie)
    85134
     
    Staršie ankety
    Pridať do obľúbených | Správca obsahu (ÚPVII) | Technická podpora (Datacentrum) | Právne informácie | RSS | Mapa stránok | Vyhlásenie o prístupnosti
    © 2009 Ministerstvo financií Slovenskej republiky
    Začiatok stránky