1 Atestace ISVS optimln Optimalizace atestace Ing Pavel
- Slides: 22
1 Atestace ISVS optimálně Optimalizace atestace Ing. Pavel Staša, CISA Security Architect & Auditor, ICZ a. s. Hradec Králové 24. - 25. března 2003
Optimalizace atestace Program 2 1. Atestační povinnost 2. Reálná atestace IS orgánů veřejné moci (OVM) i. Rozsah IS ii. Optimalizace postupu iii. Výběr asistenční firmy 3. Shrnutí místo závěru
Optimalizace atestace (1) Atestační povinnost 3 1 Atestační povinnost
4 Zákonné a podzákonné normy (1) §§§ n Zákon č. 365/2000 Sb. o ISVS q podmínky existence a provozu ISVS, q které IS jsou zákonem dotčeny, Optimalizace atestace q povinnost „dodržovat závazná ustanovení standardů, zajišťovat ochranu a bezpečnost informací v rámci provozovaného IS“.
Optimalizace atestace (1) Standardy ÚVIS 5 Standardizační činnost ÚVIS - MI n Standard ISVS 005/02. 01 pro náležitosti životního cyklu IS, n Standard ISVS 017/01. 01 stanovující povinné požadavky na metodiku atestace shody IS se standardem ISVS pro náležitosti životního cyklu IS
Optimalizace atestace (1) Atestační povinnost 6 Fáze životního cyklu (std. 5/2002) Fáze životního cyklu ISVS Vývoj, provoz, údržba Příprava IS Strateg. procesy IS Realizační proj. IS Strateg procesy. IS Ukončení IS Realizační proj. IS Strateg. procesy IS n/a Definice potřeby IS Příprava na zprac. nebo aktualizaci informační strategie IS Příprava nebo aktualizace nástrojů strategického řízení IS Projekt akvizice Realizační proj. IS n/a Tvorba a údržba informační strategie Řízení bezpečnosti Plánování a koordinace projektů Plánování a řízení jakosti Řízení požadavků a jejich monitorování Projekt základního nebo redukovaného postupu vývoje Vyřazení IS Projekt provozu a údržby Kombinované projekty
7 Povinnost atestace shody s 5/2002 Optimalizace atestace (1) Kdo musí Povinnost váže ISVS, které: n přímo komunikují, nebo se tato komunikace předpokládá, s jinými ISVS, n jsou nebo byly dodány OVM na zakázku za cenu vyšší než 200 000 Kč, n finanční prostředky na vývoj a provoz jsou čerpány ze státního rozpočtu. Kap. 9 odst. 1 std. 5/2002 uvádí tyto i další podmínky
8 Předmět atestace (1) Co musí n Různý obsah atestace: q ISVS, jejich vývoj skončil před 1. 1. 2001 (A) q nakoupený sw – akvizice (B 1), Optimalizace atestace q vytvořené nebo rozšířené s použitím základního postupu vývoje (B 2), q vytvořené nebo rozšířené s použitím redukovaného postupu vývoje (B 3). n Pro atestaci podle tohoto postupu jen (A)
Optimalizace atestace (1) Atestace (A) 9 Výrok o atestu - ISVS před 1. 1. 2001 n splňuje: dokumentace obsahuje všechny dokumenty v požadované struktuře a jakosti n splňuje s výhradami: obsahuje všechny dokumenty, nesplňuje nepodstatné náležitosti ve struktuře a jakosti n nesplňuje: dokumentace není úplná a závady se nepodaří odstranit ani ve spolupráci s atestačním střediskem
(1) Co tedy musí být 10 Podstata atestu n Musí být zpracována dokumentace v požadované struktuře a jakosti n Pro (A) je to 9 dokumentů /pro (B) asi 20 dok. / q strategie a plnění evidenčně-oznamovací povinnosti (evidenční list, informační strategie, systémové požadavky), Optimalizace atestace q bezpečnostní dokumentace (BPOL, projektová a provozní bezpečnostní dokumentace), q dokumenty nutné provozování systému (změnové řízení, evidence poruch a mimořádných události, systémová a uživatelská příručka).
Optimalizace atestace (2) Reálná atestace 11 2 Reálná atestace IS v OVM
Optimalizace atestace (2) Reálná atestace 12 Rozsah IS n IS jako celek – jednotlivé agendové subsystémy n Příklad: obce s rozšířenou působností jednotlivé agendové subsystémy stávající ISVS soubor provozní dokumentace jednotlivých agend ISS 1 ISS 2 . . ISSn
Optimalizace atestace (2) Reálná atestace 13 Optimalizace postupu n IS jako celek, jednotlivé ISS atest mají nebo jsou schopny ho získat do okamžiku podání žádosti o atestaci systému jako celku. n Pak je pro (A) nutnou a postačující podmínkou získání atestu úplná a správná dokumentace.
Situace při optimalizovaném postupu Optimalizace atestace (2) Reálná atestace 14 hranice atestovaného ISVS bezpečn. dokument. strategie pokryto atestací produktu (ISS) u výrobce (dodavatele) ISS 1 . . provozní dokument. asistence při atestaci ISSn ISS 2 příprava na atestaci
Optimalizace atestace (2) Reálná atestace 15 Postup (zjednodušeně 1/2) 1. Výběr asistenční firmy (AF) s ohledem na vazby na atestační středisko – smlouva 2. AF seznámí OVM s detailním plánem, korigují a zpřesňují se vzájemné požadavky – zodpovědnost správce zůstává nedotčena 3. AF provede AR a zpracuje bezpečnostní dokumentaci (návrh) 4. Správce kompletuje strategickou a evidenční dokumentaci
(2) Reálná atestace 16 Postup (zjednodušeně 2/2) 5. Správce zpracuje (aktualizuje) provozní dokumentaci systému jako celku 6. AF připraví smluvní podmínky OVM – asistenční středisko Optimalizace atestace 7. Další práce budou probíhat podle standardu 017/01. 01 a podle smlouvy n Pravomoc a zodpovědnost zůstává na správci n Dokumentace se všeobecnou závazností musí OVM vydat podle lokálních předpisů (AF – návrh)
Optimalizace atestace (2) Reálná atestace 17 Úskalí 1. Postup je zjednodušen na potřebné minimum n podle std. 17/2002 <– 5/2000 -> 5/2002 drobné inkonzistence -> změny 2. Některé ISS nepůjde nahradit, ani se nepodaří získat jejich atestaci (sw třetích stran ze státní správy) 3. ISVS jako celek je „živý systém“ a vykazuje systematickou snahu o rozšiřování (změny) 4. Přírůstková atestace jde k tíži OVM
(2) Výběr asistenta 18 Výběr asistenční firmy n Není třeba vypisovat výb. řízení podle 199/1994 n Vnitřní výběrové řízení se doporučuje n Odborně na výši se znalostí: q prostředí státní správy, q legislativy, q standardizačního a atestačního procesu, Optimalizace atestace q ICT, q bezpečnosti informací a informačních systémů. n Důvěryhodná: q informace pod ochranou zákonů, q informace neveřejné povahy důležité pro plnění funkce OVM
Optimalizace atestace (2) Výběr asistenta 19 Smluvní zajištění n Vymezit hranice ISVS jako celku n Z čeho se ISVS jako celek skládá n Jaký je stav dílčích atestací v okamžiku zahájení (podle jakého std. jsou dílčí systémy atestovány) n Podle jakého std. se požaduje atestace systému jako celku n Pravomoci a zodpovědnosti smluvních stran n Vymezení oblastí, v nichž budou prováděny aktivity OVM a které jsou tudíž vyjmuty z termínů plnění
Optimalizace atestace (3) Závěr 20 3 Shrnutí místo závěru
Optimalizace atestace (3) Shrnutí místo závěru 21 Smluvní zajištění n Atestace jsou reálnou povinností n Atestace jsou reálnou hrozbou n Atestace stojí peníze a čas n Atestace nezbaví správce zodpovědnosti za dokumentaci dílčích systémů (i když je nebude ověřovat) n Atestace není jedinou povinností, jak jsou std. vymáhány n Asistence nezbaví OVM zodpovědnosti za to mít ISVS atestován n Atestace ani asistence neomezují povinnosti správce
22 Optimalizace atestace Komplexní zajištění bezpečnosti Informace vždy, ale jen pro oprávněné
- Inna uit
- Dominique cerveny
- Pavel mff
- Pavel motloch
- Financial intermediaries
- Pavel machala
- Pavel theiner
- Pavel rozsypal
- P vs np
- Misha pavel
- The old house poem by franta bass
- Pavel babenko
- Pavel buividovich
- Pavel sonnenschein
- Pavel pablo gregorić
- Pavel vychytil
- Ota pavel prezentace
- Pavel popp
- Pavel skopal
- Lidl platba stravenkami
- Pavel buividovich
- Pavel buividovich
- A treia calatorie misionara a lui pavel