Zkuenosti se zavdnm systmu zen ochrany informac podle

Zkušenosti se zaváděním systému řízení ochrany informací podle ČSN BS 7999 -2 ČSN ISO//IEC 27001 ve městě Vsetín Stanislava Konečná Vedoucí odboru kanceláře starosty

1. Zavádění systému řízení jakosti dle ISO 9001 a systému enviromentálního managementu dle ISO 14001 s cílem zvýšit spokojenost zákazníka (občana) 2. Směrnice číslo QS 42 -03, provozování informačních systémů, používání počítačových programů a ostatních prostředků ICT. 1. Analytická studie řízení ICT 2. Interní směrnice číslo QS 42 -06 Ochrana informací 2. Právní normy 3. Podmínky zavádění systému ochrany informací v souladu s požadavky normy ISO ČSN 27001 1. Závěr

1. Zavádění systému řízení jakosti dle ISO 9001 a systému enviromentálního managementu dle ISO 14001 s cílem zvýšit spokojenost zákazníka (občana) (Neustálé zlepšování systému managementu jakosti - aplikována metoda PDCA) • Plánuj – stanov cíle a procesy nezbytné k dosažení výsledků v souladu s požadavky zákazníka a s politikou organizace • Dělej – uplatňuj procesy • Kontroluj – monitoruj a měř procesy ve vztahu k politice, cílům a požadavkům na produkt a podávej zprávy o výsledcích • Jednej – prováděj opatření pro neustálé zlepšování výkonnosti procesu

2. Interní směrnice číslo QS 42 -03, provozování informačních systémů, používání počítačových programů a ostatních prostředků ICT • Účelem této směrnice bylo: a) b) c) d) • Cílem této směrnice bylo: • • • určit zásady provozování IS a ICT stanovit jednotný a jednoznačný systém vedení, řízení, identifikace HW a SW prostředků a systém pravidel pro kontrolu užívání těchto prostředků stanovit odpovědnost za obsah, kvalitu a zveřejňování informací stanovit odpovědnost za správnost datových sad zajistit soulad užívání ICT s platnými právními předpisy ČR zajistit soulad s příslušnými licenčními ujednáními a respektováním autorských a průmyslových práv dodavatelů SW produktů S postupem času praxe ukázala, že tento vnitřní předpis není zcela dostačující.

3. Analytická studie řízení ICT • Zpracování analytické studie podle principu systémové integrace nad informačním systémem úřadu • Cílem této studie bylo: a) b) • posouzení míry, kterou informační systémy podporují systém managementu jakosti dle ISO 9001 a systému enviromentálního managementu dle ISO 14001 navrhnout postup, jak vytvořit kvalitní, jednotný, komplexní a integrovaný systém úřadu, který bude v souladu s mezinárodními normami Doporučení: a) provést novelizaci směrnice o provozování informačních systémů, používání počítačových programů a ostatních prostředků ICT v souladu se zákonem č. 365/2000 Sb. , standardy ISVS a oborovými normami Ø ČSN/BS 7799 -2 – Pravidla pro fungování systému řízení informační bezpečnosti 3. ČSN/ISO 15288 – proces životního cyklu softwaru a informačního systému • vytvořit a dodržovat směrnici (směrnice) pokrývající všechny součásti informatiky v souladu se zákonem č. 365/3000 Sb. , standardy ISVS a oborovými normami ČSN/ISO 15288 a ČSN/BS 7799 -2

4. Interní směrnice číslo QS 42 -06 Ochrana informací • Účelem této organizační směrnice bylo: a) b) c) • Předmětem ochrany jsou: a) • a) určit zásady ochrany informací stanovit jednotný a jednoznačný systém odpovědnosti, vedení a řízení fektivních bezpečnostních praktik zajistit ochranu důvěrnosti, integrity a dostupnosti informací, při komunikaci uvnitř Městského úřadu Vsetín i mezi organizacemi a občany jakékoliv nosiče údajů a informací, (např. písemné materiály, magnetická média, optická datová média, paměti počítačů, osobních záznamníků apod. ) všechny formy přenosů údajů a informací (přenosy poštovní, kurýrní, osobní, telefonické, telegrafické, faxové, datové apod. Cílem této směrnice bylo zajistit soulad ochrany informací a) b) c) s platnými právními předpisy České republiky, příslušnými licenčními ujednáními respektování zákonných práv občanů, organizací a pracovníků úřadu na ochranu informací.

Postup při zavádění systému řízení ochrany informací podle ČSN BS 7999 -2 1) Prezentace a seznámení s podmínkami systému řízení bezpečnosti informací 2) Školení k zavádění systému řízení 3) Zřízení fóra bezpečnosti informací 4) Stanovení požadavků na systém řízení bezpečnosti informací Prosazení systému řízení Implementace Dokumentace Kontrola dokumentace Záznamy

5) Stanovení detailních opatření - popis činností a postupů • • 5) 6) 7) Identifikace rizik a bezpečnostní politika Organizace bezpečnosti informací Klasifikace a kontrola aktiv Personální bezpečnost Fyzická bezpečnost a bezpečnost prostředí Správa komunikací a řízení provozu Řízení přístupů Vývoj a údržba systémů Řízení kontinuity činností organizace Soulad s požadavky

6) Zpracování kompletních seznamů všech informačních aktiv • • • 7) Seznam informačních aktiv (dle jednotlivých odborů) Seznam softwarových aktiv s rizikem klasifikovaných do stupně N Seznam fyzických aktiv s rizikem klasifikovaným do stupně N Zpracování dokumentace • • 6) 7) 8) 9) Kniha bezpečnostních incidentů Kniha bezpečnostních slabin Kniha chybného programového vybavení Záznam bezpečnostního incidentu Záznam bezpečnostní slabiny(BS) Záznam chybného programového vybavení (CHPV)

8) Úprava navazujících interních směrnice a vnitřních předpisů Související interní směrnice a vnitřní předpisy • • 8) 9) 10) • 8) 9) QS 42 -03 provozování informačních systémů, používání počítačových programů a ostatních prostředků ICT. QS 62 -01 Personální záležitosti a zajištění kvalifikace QS 63 -01 Vyřazování a likvidace majetku QS 74 -02 Nakupování a výběr dodavatelů QS 85 -01 Řízení neshod P 11 /03 Zabezpečení budovy MěÚ Vsetín, Svárov č. 1080 P 14 /03 Pronájem zasedacích místností a společenských prostor P 19 /05 Zveřejňování usnesení Zastupitelstva a Rady města Vsetína

5. Právní normy: • 5. 6. 7. 8. 9. 10. 11. 12. 13. zákon č. 365/2000 Sb. o informačních systémech veřejné zprávy a o změně některých zákonů v platném znění zákon č. 101/2000 Sb. o ochraně osobních údajů a o změně některých zákonů v platném znění zákon č. 106/1999 Sb. , o svobodném přístupu k informacím v platném znění zákon č. 121/2000 Sb. , o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon) zákon č. 148/1998 Sb. o ochraně utajovaných skutečností zákon č. 227/2000 Sb. o elektronickém podpisu usnesení vlády č. 624/01 (pravidla zásady a způsob zabezpečování kontroly počítačových programů) standard ISVS pro atestace shody informačních systémů veřejné správy se standardy ISVS nařízení vlády č. 495/2004 Sb. , kterým se provádí zákon č. 227/2000 Sb. , o elektronickém podpisu a o změně některých dalších zákonů vyhláška č. 496/2004 Sb. k elektronickým podatelnám

6. Podmínky zaváděním systému ochrany informací v souladu s požadavky normy ISO ČSN 27001: • • • 6. 7. 8. 9. Určit směr a vyjádřit podporu bezpečnosti informací ze strany vedení Řídit bezpečnost informací v organizaci Nastavit a udržovat přiměřenou ochranu aktiv organizace Zajistit, aby informace získaly odpovídající úroveň ochrany Zajistit, aby zaměstnanci, smluvní a třetí strany byli srozuměni se svými povinnostmi, aby pro jednotlivé role byli vybráni vhodní kandidáti a snížit riziko lidské chyby, krádeže, podvodu nebo zneužití prostředků organizace Zachovat bezpečnost informací organizace a prostředků pro zpracování informací, které jsou přístupné, zpracovávané, sdělované nebo spravované externími subjekty Zajistit, aby ukončení nebo změna pracovního vztahu zaměstnanců, smluvních a třetích stran proběhla řádným způsobem Předcházet neautorizovanému fyzickému přístupu do vymezených prostor, předcházet poškození a zásahům do provozních budov a informací organizace Předcházet ztrátě, poškození, krádeži nebo kompromitaci aktiv a přerušení činností organizace Zajistit, aby si zaměstnanci, smluvní a třetí strany byli vědomi bezpečnostních hrozeb a problémů s nimi spojených, svých odpovědností a povinností a aby byli připraveni podílet se na dodržování politiky bezpečnosti informací během své běžné práce a na snižování rizika lidské chyby

7. Závěr • Zavedení systému na MěÚ Vsetín trvalo cca 1 rok. • Průběžně se realizují jednotlivé kroky k ochraně informací, stanovené vnitřními předpisy ü ü ü 7. 8. 9. • opakované proškolování zaměstnanců instalace nových bezpečnostních zařízení vypracování směrnice k poskytování informací odpovídající vybavení kanceláří seznámení se způsobem nakládání s osobními údaji, se kterými zaměstnanci, funkcionáři, studenti vykonávající praxi či externí osoby přijdou při výkonu veřejné správy do styku výběr nových zaměstnanců kontrola dodržování vnitřních předpisů a přijímání opatření k nápravě atd. interní audity systému řízení Zavádění nových metod řízení sebou přináší nemalé problémy při zapojení pracovníků úřadu, je potřeba počítat s neochotou pracovníků. Doporučení – vhodná motivace pracovníků.