1 / 22

12. Bezpečnostný projekt a audit bezpečnostného systému

12. Bezpečnostný projekt a audit bezpečnostného systému. Bezpečnostný projekt : Bezpečnostný projekt Informácie, ktoré sa v ňom nachádzajú je potrebné chrániť, najmä popisy bezpečnostných opatrení. Základné bezpečnostné ciele všeobecne v každej organizácii sú:

juana
Download Presentation

12. Bezpečnostný projekt a audit bezpečnostného systému

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. 12. Bezpečnostný projekt a audit bezpečnostného systému

  2. Bezpečnostný projekt : Bezpečnostný projekt Informácie, ktoré sa v ňom nachádzajú je potrebné chrániť, najmä popisy bezpečnostných opatrení. Základné bezpečnostné ciele všeobecne v každej organizácii sú: a / ochrana obchodného tajomstva – zmluvy, vzťahy s dodávateľmi, odberateľmi, technologické postupy, ochrana dobrého mena b / ochrana majetku – výrobné zariadenia

  3. materiály, polotovary, tovary, dopravné zariadenia. c / ochrana finančných prostriedkov d / ochrana osobných údajov e / ochrana proti živelným pohromám f / ochrana bezpečnosti a zdravia pri práci Je vhodné spracovať bezpečnostnú politiku informačných technológií, ktorá bude vychádzať z bezpečnostnej politiky celej organizácie.

  4. Ochrana osobných údajov je integrovanou časťou bezpečnostnej politiky informačných technológií celej organizácie a v bezpečnostnom projekte v časti „ základné bezpečnostné ciele“ by mali byť spomenuté hlavne ciele pri ochrane osobných údajov. Bezpečnostný projekt vymedzuje rozsah a spôsobilosť technických, organizačných a personálnych opatrení potrebných na eliminovanie a minimalizovanie hrozieb a rizík pôsobiacich na informačný systém z hľadiska narušenia jeho bezpečnosti,

  5. spoľahlivosti a funkčnosti. Pri spracovaní bezpečnostných projektov sa môže postupovať podľa týchto krokov : 1. inicializácia bezpečnostného projektu 2. realizácia bezpečnostných rizík 3. vypracovanie bezpečnostnej politiky 4. návrh bezpečnostných štandardov 5. vypracovanie implementačného plánu 6. audit bezpečnosti. Fyzická osoba – podnikateľ, ale aj právnická

  6. osoba je povinná vypracovať bezpečnostný projekt na ochranu osobných údajov podľa zákona č. 428/2002 Z. z. ak : a / informačný systém je prepojený na verejne prístupnú počítačovú sieť alebo je prevádzkovaný v počítačovej sieti, ktorá je prepojená na verejne prístupnú počítačovú sieť b / sú v informačnom systéme spracovávané osobitné kategórie osobných údajov

  7. c / informačný systém podlieha zákonu vymedzeným podmienkam. Bezpečnostný projekt obsahuje : 1. bezpečnostný zámer 2. analýzu bezpečnosti informačného systému 3. bezpečnostné smernice

  8. Audit bezpečnostného systému Audit bezpečnostného systému (bezpečnostný audit) je špecifickou kontrolou v rámci systému manažérstva kvality podľa STN ISO 9000:2000 pre činnosť bezpečnostného systému. V súlade s citovanou normou sa uplatňuje : 1. vnútorný audit ktorý jevykonávaný interným audítorom, audit vykonáva organizácia vo vnútri svojej organizačnej štruktúry

  9. 2. externý audit, vykonávaný audítorom nezávislej organizácie ( nezávislým audítorom ). Bezpečnostný audit je vo svojej podstate nezávislým overením funkčnosti bezpečnostného systému v danej fáze jeho prevádzky. Medzi základné princípy bezpečnostného auditu patria: 1. nezávislosť, tzn. overenie bezpečnostného systému subjektom

  10. ktorý sa nepodieľa na praktickej realizácii bezpečnostného systému. 2. odborná spôsobilosť, ktorá sa zabezpečuje potrebnou kvalifikáciou na vykonanie auditu. Tá sa deklaruje najmä: a / bezpečnostným vzdelaním b / bezpečnostnou praxou c / osvedčením súdneho znalca pre daný odbor d / osvedčením audítora ISO

  11. Pri komplexnom audite je vhodné využívať odbornú spôsobilosť pre jednotlivé špecializácie, napr. fyzickú ochranu, technické zabezpečenie, bezpečnosť informačných systémov a pod. 3. komplexnosť, ktorá znamená zameranie auditu na celý bezpečnostný systém, tzn. na všetky subsystémy: a / v rámci štruktúry ochrany: 1. ochrana majetku

  12. 2. ochrana osôb 3. ochrana informácií b / podľa prostriedkov ochrany : 1. technické zabezpečovacie prostriedky (EZS, CCTV, SKV, EPS, MZP ) 2. režimová ochrana a organizačné opatrenia 3. fyzická ochrana 4. personálna bezpečnosť

  13. 5. fyzická a objektová bezpečnosť 6. administratívna bezpečnosť 7 informačná bezpečnosť a pod. 4. Preukázateľnosť záverov, objektívnosť a nezávislosť sa pri audite chápe nielen pri výbere audítora, ale tiež pri interpretácii výstupov auditu. Je neprípustné vyslovovať len domnienky, závery auditu musia byť vždy preukázané 5. personálna bezpečnosť predstavuje

  14. overenie bezpečnostnej spoľahlivosti audítora, vrátane záväzku mlčanlivosti. Bezpečnostný audit sa môže vykonávať : a / v etape projektovania bezpečnostného systému – vstupný audit b / po nainštalovaní bezpečnostného systému – výstupný audit ako forma prevzatia bezpečnostného systému c / počas prevádzkovania bezpečnostného systému – bezpečnostný audit ako

  15. nástroj kontroly Pre potreby bezpečnostného manažmentu boli vyvinuté špeciálne auditačné produkty a postupy. Aj keď ich špecifiká sa rôznia, obsahom by mali byť nástroje a postupy na overenie nasledujúcich oblastí: 1. obsah a kvalita analýzy bezpečnostného prostredia, resp. či vôbec bola analýza vykonaná 2. vykonanie, obsah a kvalita rizikovej analýzy spôsob vymedzenia

  16. 3. vykonanie, obsah a kvalita bezpečnostnej analýzy, reálnosť záverov, použiteľnosť a aktuálnosť definovanej rizikovosti objektov 4. vykonanie, kvalita, rozsah a použiteľnosť bezpečnostnej koncepcie pre projektovanie bezpečnostného systému 5. kvalita, rozsah, štruktúrovanosť, logická a operačná previazanosť a primeranosť použitých spôsobov ochrany objektu

  17. a / klasická b / fyzická c / technická d / režimová ochrana 6. dodržiavanie technických noriem, požiadaviek a zásad po inštalácii technických prostriedkov ochrany (PSN, EPS), spôsob a systém zaistenia servisnej činnosti 7. kvalita výberu, prípravy, kontroly,

  18. hodnotenia a celkového vedenia pracovníkov fyzickej ochrany s dôrazom na personálnu bezpečnosť 8. rozsah, kvalita, realizácia a kontrola dodržiavania režimových opatrení s dôrazom na : a / vstupný/výstupný režim b / materiálový a expedičný režim c / prevádzkový režim d / kľúčový režim

  19. 9. kvalita organizačných opatrení, s dôrazom na : a / systém tvorby obsah riadiacich dokumentov b / obsah, kvalita a reálnosť dokumentov pre organizáciu ochrany objektu c / smernice pre technickú službu d / smernice pre ochranu utajovaných skutočností a pod. 10. uplatnenie systému manažérstva kvality

  20. v súlade s STN EN ISO 9000, STN EN ISO 9001, 9004 a 10011 11. realizáciu ďalších požiadaviek vzhľadom na špecifiku chráneného objektu, napr. v prípade strategických objektov, objektov objektov osobitnej či ďalšej dôležitosti. Audítorské dôkazy sú informácie, ktoré získava audítor o posudzovanej oblasti bezpečnostného systéme na formulovanie záveru nevyhnutného pre audítorský názor v audítorskej správe. Vo svojej podstate

  21. sú to záznamy, konštatovania skutočností alebo iné informácie ,týkajúce sa kritérií auditu, ktoré sú verifikovateľné. Výsledkom môže byť konštatovanie, že a / zabezpečuje, alebo nezabezpečuje požadovaný stupeň ochrany b / poskytuje minimálnu, štandardnú alebo vyšší stupeň ochrany c / je alebo nie je rodený v súlade s požiadavkami manažérskej kvality d / iné konštatovania

More Related