Janka, máš pravdu. Opravil som tú *mierumilovnú zónu* na proxy
Jasné, že by sa tam dalo toho ešte popridávať, už to nechám na tvorivosť iným, teraz už dávam dokopy Analýzu bezpečnosti IS

Zaujímalo by ma, čo sú aktíva IS : počítače, alebo aj personál ? Od toho sa budú odvíjať hrozby ...

Obidva V aktivach je este viac veci Ale hadam to do BP staci

Dobré ránko bezpečáci. Let's go do práce.
HROZBY pôsobiace na aktíva IS :
- straty (ľudí, informácií, financií, energie, materiálu, dobrého mena a pod.),
- nehody (požiar, výbuch, havária - nespadajúce pod kriminalitu),
- kriminalitu (krádež, násilie, terorizmus, podvod, sabotáž, únos atď.)
- zanedbanie (vykonať niečo, nesprávny postup, oneskorenie výkonu),
- prírodné vplyvy (záplavy, víchrice, blesky, zemetrasenia a pod.),
- neetické konanie (korupcia, konflikt záujmov, špionáž atď.).
Súhlasíme ? Janka díki

Je ich dost:p takze este k tomu jemnu omacku a podla mna moze byt.
K tomu bezp. zameru by som este doplnila okolie IS o presny nazov napr.: mzdoveho programu, aky spolocnost pouziva. A to proxy, neviem, co si tym myslel, ak server to sa v malych firmach nevyuziva....:p

Sa mi tak zdá, že tie hrozby som asi trafil zle, to sú asi hrozby nie pre OOÚ
A keby sme tam dali tieto :
* strata dôvernosti informácie - informácia je prezradená, teda stane sa známou mimo vymedzeného (oprávneného) okruhu subjektov, pre ktorý je určená,
* strata integrity informácie - informácia nie je celistvá, je neúplná, nie je v pôvodnom stave, alebo bola modifikovaná,
* strata dosiahnuteľnosti informácie - informácia nie je tam, kde je očakávaná alebo ju nemožno okamžite použiť, alebo je inak nedostupná oprávnenému používateľovi,
* strata autentickosti informácie - informácia je nesprávna alebo nezodpovedá skutočnosti, ktorú by mala reprezentovať, alebo nie je istota o jej zdroji.

Toto znie lepsie a ake aktiva si pouzil? Napadnutie hrubou silou, živelna pohroma,...alebo ine?

Môj bezpečnostný zámer vyzerá v obsahu asi takto.....

OBSAH DOKUMENTU strana<?xml:namespace prefix = o ns = "urn:schemas-microsoft-comfficeffice" /><o:p></o:p>
<o:p></o:p>

TITULNÝ LIST .................................................. .................................................. ..............1<o:p></o:p>

SCHVAĽOVACÍ LIST .................................................. .................................................. ..............2<o:p></o:p>

ZMENOVÝ LIST .................................................. .................................................. ..............3<o:p></o:p>

OBOZNAMOVACÍ LIST .................................................. .................................................. .............3<o:p></o:p>

OBSAHOVÝ LIST .................................................. .................................................. ..............................4<o:p></o:p>

<o:p></o:p>

1ÚČEL DOKUMENTU.. 5<o:p></o:p>

2TERMINOLÓGIA5<o:p></o:p>

2.1Kľúčové slová.. 5<o:p></o:p>

2.2Použité skratky.. 5<o:p></o:p>

Východiská bezpečnostného zámeru.. 6<o:p></o:p>

2.3Identifikácia dopadov zákona na právnickú osobu6<o:p></o:p>

2.4Popis dotknutých technických prostriedkov7<o:p></o:p>

2.5Vymedzenie pracovných pozícií, ktoré spracovávajú osobné údaje7<o:p></o:p>

3Základné bezpečnostné ciele. 8<o:p></o:p>

3.1Formulácia základných bezpečnostných cieľov. 8<o:p></o:p>

3.2Minimálne požadované bezpečnostné opatrenia.. 9<o:p></o:p>

4Opatrenia na zabezpečenie ochrany osobných údajov.. 9<o:p></o:p>

4.1Špecifikácia technických opatrení10<o:p></o:p>

4.2Špecifikácia organizačných opatrení10<o:p></o:p>

4.3Špecifikácia personálnych opatrení11<o:p></o:p>

5Okolie informačných systémov na spracúvanie osobných údajov.. 11<o:p></o:p>

5.1Popis okolia tvoreného ľuďmi a vymedzenie vzťahu k možnému narušeniu bezpečnosti12<o:p></o:p>

5.2Popis okolia tvoreného fyzickým okolím a vymedzenie vzťahu k možnému narušeniu bezpečnosti12<o:p></o:p>

5.3Popis okolia tvoreného prírodným okolím a vymedzenie vzťahu k možnému narušeniu bezpečnosti13<o:p></o:p>

6Odhad zvyškových rizík13<o:p></o:p>

7Záverečné vyhodnotenie14<o:p></o:p>

<o:p></o:p>

Zoznam tabuliek:

Tab. 1 Predbežné rozčlenenie osobných údajov. 6<o:p></o:p>

Tab. 2 Typické procesy spracúvania osobných údajov. 6<o:p></o:p>

Tab. 3 Technické prostriedky. 7<o:p></o:p>

Tab. 4 Pracovné pozície dotknuté [1.]7<o:p></o:p>

Tab. 5 Typické oprávnenia osôb pracujúcich s osobnými údajmi8<o:p></o:p>

Tab. 6 Prehľad základných bezpečnostných cieľov. 9<o:p></o:p>

Tab. 7 Zoznam technických opatrení, ktoré je možné na ochranu osobných údajov použiť. 10<o:p></o:p>

Tab. 8 Popis hlavných organizačných opatrení ktoré hodlá Spoločnosť realizovať. 11<o:p></o:p>

Tab. 9 Personálne opatrenia. 11<o:p></o:p>

Tab. 10 Popis fyzického prostredia – okolia informačných systémov. 13<o:p></o:p>

Tab. 11 Predikcia zvyškových rizík. 14<o:p></o:p>

To syamlee: Dufam, ze nam prispejes svojimi poznatkami Dal si si ho vypracovat, alebo si si ho spracoval samostatne?

syamlee fajn, môžeš ukázať aj obsah ? Ja ti po tej tvojej osnove klikám a klikám a nič

Ja až spracujem bezpečnostný projekt, budem šedivá a aj brada mi narastie až po zem!!! Syamlee, nemôžeš nám ukázať obsah tej osnovy?

Nemôžem ho tu dať celý.... autorské práva.... Ale keď budete chcieť vedieť niečo konkretne... určite sa budem snažiť pomôcť...

Symalee tak nam aspon napovedz, ci ideme spravnym smerom, alebo mame nieco zmenit

Ahojte, mám hotovú kvalitatívnu analýzu rizík, pozrite na to v prílohe.
Čo ale dať do tých štandartov, z toho som jeleň

ja mam zatial toto. mate nejake podnety co by tam malo este byt:

Analýza bezpečnosti IS vzhľadom k havarijným stavom.

Server na ktorom sa nachádzajú súbory IS je chránený polohou, je pripojený na záložný zdroj. Používa diskové pole v režime mirror. Zálohy sa ukladajú mimo server. Vzhľadom k možnej havárii je IS bezpečný.

Analýza bezpečnosti IS vzhľadom k neoprávnenému prístupu

Užívatelia majú pridelené prihlasovacie meno a heslo do LAN a k spusteniu aplikácie, ktoré sú rôzne.

Analýza bezpečnosti IS vzhľadom k vírusovým a spyware-ovým nákazam

Užívateľské počitače /PC/ sú vybavené programom na zamedzenie inštalácie spyware. Prichádzajúca o odchádzajúca elektronická pošta je kontrolovaná na mail serveri. PC majú zamedzený prístup na iný mail server. Každý takýto prístup je zaznamenaný. Pravidelne je vykonávaná vírusová detekcia PC z centrálneho servera.


Analýza bezpečnosti IS vzhľadom k ochrane údajov proti ich poškodeniu, zmene, vymazaniu, zničeniu

Server na ktorom sa nachádzajú súbory IS používa diskové pole v režime mirror. Zálohy sa ukladajú mimo server. Užívatelia nemajú oprávnenie na výmaz údajov v IS.

Keď som sa dal na vypracovanie BP, zvolil som takú stratégiu, že všetky omáčky budú v častiach
1. bezp. zámer
2. analýza bezp.
Konkrétne veci, ako to má vlastne byť zabezpečené aby to bolo OK, budem napchávať až do
3. bezp.smerníc
Čo vy na to na takýto postup, môže to byť takto ?

mam tu komentar k zakonu a tam je napisane, ze analyza bezp. je podrobny rozbor stavu bezpecnosti .... takze to chapem tak, ze analyza je konkretny popis a rozbor, omacka je v zamere a smernice obsahuje skor postupy ako popis

Suhlasim s dusanke

Hmm, no ktoho vie, ako to *básnik zákonodarca myslel* Keď si niekto prečíta paragraf 16 ods.5, je to tam popísané. ... podrobný rozbor stavu bezp. IS
Keď ale pozrieš ďalej na ods.6 : Bezp.smernice upresňujú .... na konkrétne podmienky prevádzkovateľa ...
Takže môj záver : postoj nemením

No ľudia, čo dáme do tých bezp. štandartov : ja by som tam napísal podľa vzoru Danky len sumár zákonov, podľa ktorých sa vo firme riadime ... bla bla bla ... čo tam máte vy ostatní - už hotoví bezpečáci ?