Janka, neva. Ty robíš bezp.projekt ?

TAk som si povedal ze dobre ranooooo, a teraz ked to tu citam tak mam pocit kde som spal fuha.....

no ak som to spravne pochopil tak treba urobit nasledovné.....

vypracovat internu smernicu (vsetci teda PO aj FO)
zaregistrovat sa
v pripade ak je PO viac ako 5 zamestnancov treba zaregistrovat poverenu osobu ale firmu netreba ?
ak pracujete z internetom treba vypracovat bezpecnostny projetk (kazdy PO aj FO)....
vsetko treba stihnut do 30.6.(nestiham smola)
no a registracia sa tyka akych druhov: osobnych, zakaznickych som z toho uplny ale uplny magor...

Tak sa opytam ako tomu potom chapete vy, co sa tyka analyzy rizik. Staci dat do prilohy alebo uviest nieco v tomto zneni:
Základom obsahu Bezpečnostného projetku je analýza rizík. V analýze rizík sa jednoduchým spôsobom vyhodnotia možné riziká. Pri ich určovaní a vyhodnocovaní je potrebné brať do úvahy, aké opatrenia už prevádzkovateľ prijal a uplatnil (napr. požiarny plán, havarijný plán, smernica o poučení oprávnených osôb, smernica o poverení zodpovednej osoby ap.). V prípade ak prevádzkovateľ neprijal žiadne opatrenia, alebo tie ktoré sú v danom čase platné nie sú už vzhľadom na zmenenú situáciu aktuálne, z tejto časti projektu vyplynie, že ich je potrebné dopracovať.

Analýza rizík vychádza z definovania súčasného problému - hodnotenia súčasného stavu bezpečnosti prevádzkovateľa ako celku (objekt, prístup, umiestnenie atď.) Do súčasného stavu hodnotenia sa zahŕňajú všetky aktíva bezpečnosti, to znamená, že v tomto procese pôjde o inventarizáciu všetkého, čo je súčasťou informačného systému vypracovaním jednoduchého zoznamu súčastí informačného systému. Možno ich rozdeliť na technické prostriedky (počítačové vybavenie, tlačiareň, nosiče údajov (papierové – osobné spisy, dekréty, overené kópie diplomov, vysvedčení, pracovné náplne, hodnotenia, mzdové listy, dovolenkové lístky, evidencia dochádzky (ak sa spracúva manuálne), cestovné príkazy ap., strojom čitateľné média – diskety, CD nosiče, pásky ap.), programové vybavenie (operačný systém, nakúpené aplikačné programové vybavenie, príp. vlastné programy a ich zdrojové kódy, v ktorých sa prevádzkuje báza dát o zamestnancoch), informácie (vlastné údaje uložené v informačnom systéme bez ohľadu na ich nosič), materiálové vybavenie (skrine, rozraďovače, stoly, stoličky ap,) a personál (personalista/ personalistka, mzdový účtovník/mzdová účtovníčka ap.). <O:p></O:p>


Vyplyva mi z toho, ze treba uviest v prilohe opatrenia ake uz su stanovene na zaklade napr: smernice a druha cast je v bezpecnostnej smernici. Opravte ma ak to zle chapem.

Snazim sa, ale nie vsetko mi je jasne, mne sa tam tie "omacky" nepacia, ale skusam, stahujem a analyzujem

Janka, tuším sme na tom rovnako - asi ten BP vypracujeme a dáme na poradu my dvaja. Doteraz som tiež len študoval, no mám už toho akurát tak dosť. Pozri na priložený dokument, to je moja postupnosť krokov.
Máme čo robiť

Roman, aj ja budem vypracovávať bezpečnostný projekt a bezpečnostné smernice, ale kedy to bude, to netuším

OK, spravíme tím a pôjdeme na to. Pekne postupne : ja práve špekulujem na takej veci, akou je bezpečnostný zámer

Kroky su spravne, len moznosti je strasne vela, pretoze male firmy (do 5 zamestn.) nemusia mat ani zodpovednu osobu, ale ak maju PC, na ktorom sa spracuvavaju mzdy pripojene do siete, tak bezpecnostny projekt musi byt.
A prave tento problem neviem vyriesit pri analyze rizik. Preto by som potrebovala pocut aj iny nazor, ci idem na to spravne alebo nie.
Mozem sa pridat, aspon to bude lepsie, ak sa to rozanalyzuje.

mna to tiez caka tak pomozeme si nejak ale mna by napr. zaujimalo je s.r.o. kde su dvaja konatelia bez mzdy a odmeny...(proste maju s.r.o. popri zamestnani)-maju pristup na internet...teraz neviem staci zaregistrovat firmu alebo treba poverit jedneho z nich ako konatelov, vypracovat smernicu a projekt? Som z toho magor...alebo treba zaregistrovat firmu a este aj poverenu osobu.

Moj nazor na prilozeny dokument BP od Danky a bezpecnostny zamer, ktory je tam obsiahnuty je:

Bezpecnostny zamer a k tomu def. je podla mna v poriadku, pretoze v IT, co sa tyka zabezpecenia sieti sa skutocne hovori o spominanych urovniach.
Bezpecnostne ciele - charakteristika je dobra, ide o zabezpecenie IS a urovne bezpecnosti su tiez podrobnejsie, co vlastne zachytavaju.

Vlado neviem, skús svoju otázku dať na debatu o OOÚ
http://www.porada.sk/showthread.php?...&page=79&pp=10
tu skôr riešme bezp. projekt

len tak narýchlo ...

Bezpečnostný zámer vymedzuje základné bezpečnostné ciele, ktoré je potrebné dosiahnuť na ochranu informačného systému pred ohrozením jeho bezpečnosti.

Formulácia základných bezpečnostných cieľov
Cieľom prevádzkovateľa je ochrana informačného systému, ktorá spočíva vo vhodnom umiestnení informačného systému na zariadení, na ktorom bude informačný systém používaný.
Prevádzkovateľ bude dbať na to, aby bol informačný systém chránený pred zneužitím iných osôb, aby bol chránený pred napadnutím vírusu ...

Špecifikácia opatrení
Prevádzkovateľ zabezpečí vhodné technické, organizačné a personálne opatrenie na zabezpečenie ochrany osobných údajov v IS. Technickým opatrením je zvolenie vhodného zariadenia, kde bude IS používaný. Počítačové zariadenie bude chránené antivírovým programom, ďalej vstup do konkrétneho IS bude výlučne cez heslo užívateľa, heslo do programu si zvolí a bude mať k dispozícii výlučne zodpovedná osoba za ochranu osobných údajov...

Vymedzenie okolia IS
IS je nainštalovaný na počítačovom zariadení Pentium, je chránený antivírovým programom AVG, prístup do IS má jedine zodpovedná osoba. Počítačové zariadenie sa nachádza v samostatnej kancelárii personálneho manažéra (zodpovednej osoby), kancelársky priestor je zabezpečený bezpečnostnými dverami, ku ktorým má prístup zodpovedná osoba a majitelia spoločnosti...

Vymedzenie hraníc
Kancelárske priestory sú prenajímané firmou XY, kancelária personálneho manažéra sa nachádza na 1. poschodí budovy. Budova je strážená 24 hodín denne zamestancami prenajímateľa. V nočných hodinách je objekt chránený aj psom ...

uff, to bolo strašne rýchlo, takže to treba dotiahnuť

Pokracovanie k bezpecnostnemu zameru:

organizacne opatrenia - aj tie su podla mna v poriadku, len kazda spolocnost si musi prisposobit, ci ma iba povereneho zamestnanca alebo cely tim IT na spracovanie IS

technicke opatrenia - tie su iba pre zamestnancov, ktori ich maju na starosti a vyuzivaju ich. je to v poriadku, ale ak fy vyuziva iba vypoctovu techniku, tak 2. bod by som vyhodila, pretoze pisaci stroj nevlastni kazda firma.
Zabezpecenie aktiv - to moze byt, iba si treba upresnit, co je v danej firme, ake program. vybavenie, mechan. metoda (zabezpecenie firmy - trezory....), rezimovu metodu nevyuzivaju male firmy, ale par viet sa tam da pouzit, technicka metoda - tu si tiez musi kazdy prisposobit...
personalne opatrenia - tie su tiez site na mieru kazdej firme zvlast, ak firma nema poverenu osobu, tak druhu cast by som vyhodila, ak ma poverenu osobu, tak tuto cast len upravit

Skuste na to reagovat, to je moj pohlad, budem rada, ak sa niekto k tomu vyjadri

Janka, tiež si myslím že celý bezp. zámer od Danky je OK, niekde som našiel toto :

Bezpečnostný zámer
- vymedzuje základné bezpečnostné ciele, ktoré je potrebné dosiahnuť na ochranu informačného systému pred ohrozením jeho bezpečnosti, a obsahuje najmä:
- formuláciu základných bezpečnostných cieľov a minimálne požadovaných bezpečnostných opatrení
- špecifikáciu technických, organizačných a personálnych opatrení na zabezpečenie ochrany osobných údajov v informačnom systéme a spôsob ich využitia
- vymedzenie okolia informačného systému a jeho vzťah k možnému narušeniu bezpečnosti
- vymedzenie hraníc určujúcich množinu zvyškových rizík

Idem upraviť to Dankine, a capnem to na poradu

Ok, tak pockame a potom pozrieme

Uz chapem o co ide:p Cize formulacie k tomu a nie tie suchopadne omacky

Jani, na školení bolo povedané: "netreba siahodlhé dizertačné práce, ale normálne, zrozumiteľne naformulovať zásady, podľa ktorých sa budete vo firme riadiť. Ak sa budete držať zákona § 16 a jeho obsahu, úplne to bude stačiť."

niektore veci mi nic nehovoria ako vymedzenie hranic zvyskovych rizik bee, kde na to chodia prosim vas no

BEZPEČNOSTNÝ ZÁMER

Spoločnosť XY si stanovila nasledovne bezpečnostné ciele:

• firma zabezpečí najvyššiu možnú ochranu informačného systému pred možným ohrozením inou osobou prostredníctvom vniknutia do informačného systému cez internet(vírus,napichnutie sa počitač-len to neviem pomenovať) alebo iný prístupový kód
  
• prístup k informačnému systému bude chránený prístupovým kódom a antivírom, ktorý sa bude pravdelne každý týždeň upgradeovať
  
• Informačný systém bude používaný v počítači poverenej osoby(neviem či to treba špecifikovať na konkrétnu značku alebo počet počítačov) prevádzkovateľa, pričom prístup k ním bude mať ide poverená osoba a osoba zodpovedná za bezpečnosť údajov(a čo ked nie je zamestnanec co tam uviest)
  
• Informačný systém nie je možné prenášať mimo priestory spoločnosti XY
  
  

co dal

No, niečo som zbúchal, poprepisoval a hotovo. Okomentujte mi to, poopravujeme a ideme ďalej : analýza bezpečnosti IS

------------------
doplnenie v prílohe

Moze byt, ale ja by som sa opytala, ci skutocne mate prepojenie cez demilitarizovanu zonu, alebo je zabezpecenie iba cez firewall? Ja len preto, lebo ZS, podla ktorej bol robeny tento BP moze mat demilitarizovanu zonu, ale male firmy... to sa mi nezda... Oprav ma, ak sa mylim.
Dalsia otazka: PC moze byt zapojene do siete do vnutornej vo firme, ale na internet moze byt pripojeny cez jeden PC.

Do jednotlivych nadpisov by si mohol zaclenit, aj to co vysie uviedla Vladan. Ma to logiku, aby tam nebol velmi odborny text. Co ty na to?

Neber to ako kritiku, ja len nahlas rozmyslam:p